1、 chfn
这个指令用来修改用户的finger information(指纹信息),作为后门的chfn可以接收用户输入的password,从而进入rootkit模式。
2、 chsh
切换shell的指令,作为后门的chfn可以接收用户输入的password,从而进入rootkit模式。
3、 crontab使用预设的"正常"的crontab(计划任务)给用户看,从而将rootkit设置的后门启动项隐藏起来。
4、 du
和ls作用类似,rootkit劫持后会隐藏rootkit相关文件,从而欺骗用户。
5、 find
find [-H] [-L] [-P] [-Olevel] [-D help|tree|search|stat|rates|opt|exec] [path... [expression]寻找指定文件的指令,rootkit劫持后会隐藏rootkit相关文件,从而欺骗用户 。
6、 ifconfig
rootkit劫持后会隐藏"混杂模式"的标志位(混杂模式被rootkit用来进行网络流量嗅探) 。
7、 inetd
用户后门访问的远程访问服务器。
8、 killall
rootkit劫持了原本的"杀进程kill、killall"指令之后,会在本地维护份"ROOTKIT_PROCESS_FILE"列表,凡是在这个列表中的进程都禁止杀死,以此对抗系统管理员使用kill命令强行结束rootkit后门程序 。
9、 login
rootkit劫持了login程序之后,除了保证原本的正常用户登录过程,还允许rootkit种植者使用一种叫"万能密码"的机制,即只要用户输入的密码是一个指定的"万能密码",则用户可以以任何身份登录任何用户。
10、 ls
对指定文件列表中的文件进行隐藏。
在我们获得了对目标的控制权后,还想保持这种控制权限,于是就出现了木马后门,Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门,比如我们常见的远程控制类的,
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024