那些年,我们一切保有的linux服务器 0x01---后门隐藏技术的攻与防
【*】作者:小飞
【*】QQ 5119187
混个脸熟 顺便求个土司认证呗
此为系列教材,分为三个部分
0x01---后门隐藏技术的攻与防
0x02---基于端口复用的apache模块后门 mod_rootme的调试与使用
0x03---LKM rootkit的编译与使用
-----------------------------------------------
0x01---后门隐藏技术的攻与防
首先 我谈谈我的观点
在全民网络安全意识越来越强大今天 ,如何隐藏入侵足迹和保持后门成为越来越多的黑客的必修课
这也就是rootkit之所以存在的原因
网络上也有很多基于ssh的后门 比如mafix ddrk
其中ddrk也是内核型后门
这样 处于系统内部的所有查看端口,进程,连接的命令
都不能让管理员找到你 这也就是说 只要管理员不起疑心 一切都好
但是 一旦管理员细心一点
通过外网的主机 对服务器进行扫描 比如nmap ,那么对不起,你的后门就悲剧了
管理员会马上发现你的ssh后门 并且通过iptables reject掉
那么 如何有效的保持我们的后门?
我的想法是 端口复用+LKM rootkit
这样 及时是内网还是外网 管理员都无法看到端口异常的状况
而且在系统中 我们也可以通过rootkit 隐藏后门进程与后门文件
如此这般,一个“完美”的后门 就产生了
--------------------------------------------------------------------------------------------
文章难免会有错误,希望给位积极指出,进行讨论
同时 刚刚接触linux内核的我还有几个问题有待解决
希望有时间的大牛能参与文章的编写和完善
帮解决下有关lkm rootkit几个问题
【*】QQ 5119187
混个脸熟 顺便求个土司认证呗
此为系列教材,分为三个部分
0x01---后门隐藏技术的攻与防
0x02---基于端口复用的apache模块后门 mod_rootme的调试与使用
0x03---LKM rootkit的编译与使用
-----------------------------------------------
0x01---后门隐藏技术的攻与防
首先 我谈谈我的观点
在全民网络安全意识越来越强大今天 ,如何隐藏入侵足迹和保持后门成为越来越多的黑客的必修课
这也就是rootkit之所以存在的原因
网络上也有很多基于ssh的后门 比如mafix ddrk
其中ddrk也是内核型后门
这样 处于系统内部的所有查看端口,进程,连接的命令
都不能让管理员找到你 这也就是说 只要管理员不起疑心 一切都好
但是 一旦管理员细心一点
通过外网的主机 对服务器进行扫描 比如nmap ,那么对不起,你的后门就悲剧了
管理员会马上发现你的ssh后门 并且通过iptables reject掉
那么 如何有效的保持我们的后门?
我的想法是 端口复用+LKM rootkit
这样 及时是内网还是外网 管理员都无法看到端口异常的状况
而且在系统中 我们也可以通过rootkit 隐藏后门进程与后门文件
如此这般,一个“完美”的后门 就产生了
--------------------------------------------------------------------------------------------
文章难免会有错误,希望给位积极指出,进行讨论
同时 刚刚接触linux内核的我还有几个问题有待解决
希望有时间的大牛能参与文章的编写和完善
帮解决下有关lkm rootkit几个问题
关于作者
评论30次
谢谢分享方法
收了。。
恩!值得学xi了哦。
好想法,收藏之
Linux 我喜欢
收藏之
收下、、、、
写的很不错
土司认证?论坛认证么?短消息我!
rkhunter 端口复用 必须是在socket使用一特定的参数才行,windows大部分都不支持,linux支持的多,但是用的少。 还有一种方法就是写过滤驱动