在Linux系統里植入賬戶后門是一個極其簡單高效的管理權限維持辦法。hack在獲得目標系統權限的情況下,利用建立一個操作系統賬戶當做持久化的聚集點,如此一來隨時都可以利用工具鏈接到目標操作系統,實現對目標服務器進行長期操控的目的。依據獲得的shell方式不一樣,建立操作系統賬戶的辦法也不盡相同,一般shell方式可分為交互模式和非交互模式這兩種情況:
(1)當shell為交互模式時建立操作系統賬戶
當獲取到目標操作系統的shell管理權限擁有交互模式時,hack和目標操作系統能夠進行數據傳輸,就能夠依據操作系統反饋的消息提示建立操作系統賬戶和設置登陸密碼。如下所示咱們可以使用usersdd和passwd指令建立test賬戶并對該賬號設置登陸密碼。(如果服務器被黑了后無法排查后門以及溯源攻擊痕跡的話可以向服務器安全服務商SINE安全尋求技術支持。)
useradd SINE #添加sine賬戶
passwd SINE #給sine賬戶設置登錄口令
還可以將SINE賬戶寫到Linux 里的/etc/passwd文件,VI編輯以后,通過passwd命令,設置SINE賬戶的密碼。
echo "SINE:x:0:0::/:/bin/sh" /etc/passwd #添加SINE賬戶
passwd SINE
(2)當shell為非交互模式時建立服務器賬戶
當收集到目標服務器的shell管理權限為非交互模式時,例如:webshell等,不可以收集到系統的系統提示,都不能使用vim、vi等編輯軟件時,就不可以直接通過passwd指令設定登陸密碼了。這時,咱們能使用useradd建立test用戶,采用``符號是存放可執行的DOS命令,設定該用戶的登陸密碼。
怎么檢測Linux服務器是否被植入賬戶后門?
依據我們SINE安全15年的安全從業經驗來看,檢查Linux服務器里是否被植入隱藏的系統賬戶后門,可以編輯一下/etc/passwd文件中的新增的潛藏用戶,還可以利用awk命令,查詢uid=0以及uid =500的所有用戶名,如下圖的指令就可以查詢是否有異常的后門賬戶,還可以查看Linux 賬戶的登錄歷史記錄,以及登錄的IP來看下,是否有異常的賬號和IP登錄過服務器。
awk -F : '($3 =500 || $3==0){print $1}' /etc/passwd。
相信各位站長都很熟悉Linux系統的特性,系統開源、免費、支持基于PHP+MySQL的網站開發。因此,站長們在選擇虛擬主機的時候,往往也會更側重linux系統虛擬主機。
云鎖放出Linux版后,我第一時間就下載安裝,通過這幾天的使用,有了一些心得體會,產品有很多優點,果然不出我所料,其中一些對我來說還算是驚喜
Linuxglibc函數庫今日曝出名為GHOST(幽靈)的高危漏洞,漏洞編號是CVE-2015-0235,glibc是GNU發布的libc庫,即c運行庫,是linux系統中最底層的api,幾乎其它任何運行庫都會依賴于glibc。攻擊者可以利用GHOST(幽靈)漏洞,在不了解系統的任何情況下遠程獲取操
作為當前最主流的操作系統之一,Linux操作系統已經在操作系統領域有著不可撼動的地位。基于Linux運行環境所開發的Linux主機契合了該操作系統的特點,并且受到了很多站長的青睞。那么新手站長應該從哪些方面來挑選Linux主機呢?這里就給大家支幾招。秘訣一:了解虛擬主機配置在挑選Linux主機的時候
Linux主機是當前比較流行的一種虛擬主機,Linux主機是采用PHP開發語言+MySQL數據庫的一種主機類型,所以對于很多由PHP開發的網站來說,Linux主機是一個很好的選擇。新手站長在挑選最佳Linux主機的時候往往不知道從什么方面去判斷主機的優劣,在這里,小編就給大家推薦一家口碑較好的專業L