“后门”的攻击与防御

核心提示： 则真实的路径需要用/bin/echo $PATH查看，为/home/skylove:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/root/bin而用echo $PATH 查看则为/

则真实的路径需要用/bin/echo $PATH查看，为
　　/home/skylove:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/root/bin

而用echo $PATH 查看则为
　　/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/root/bin

(别忘记了由于路径优先的关系，首先执行的echo是我们目录下的echo shell，而非真正的echo文件)

那么如果管理员用which来查看ps ，netstat等命令的路径呢？

同样的道理，既然我们把ps，netstat和echo都伪造了，也不在乎多写一个名字为which的shell吧？

（以上这个shell中的case语句是判断输入的参数是否是我们改造过的文件，如果都不是，则丢给正常的which处理）

好了，同样的chmod 755这个文件，以后如果用which 查ps，netstat等，返回的都是伪真实路径咯~！

如果还想伪造其他的什么，用以上的类似方法来做就行了。

最后一步，这个tfn2k程序是我们想一直运行，即使管理员关机重新启动后依然可以自动加载的话——留意到没？刚才的ps进程里，有看到named，于是我们在/etc/init.d/named里加上一段就行了

好了，到这里，我们的掩饰目的基本上已经完成了。把我们的这个skylove帐号退出，用前面漏洞进入系统获得root的方式进去，进行最后的清理现场工作——首先把日志里面的内容删除掉 /var/log/message、/var/log/secure这里面的相关信息都清理掉，然后将ssh删除掉（当然如果你另有打算长期控制它，那么可以保留），再将我们那显眼的帐号skylove删除掉（如果你的那些程序是放在当时你新建帐号的home下，那么记得只需要先chown -R那个目录，然后直接在/etc/passwd里将我们那条skylove的记录删除就行咯）。之后再次清理log，确认一切正常后退出（再次把后门虚掩上）。