Linux下初步后门查找
作者: 来源: 添加时间:2006-5-23 8:29:024) ifconfig后门
ifconfig后门就是把下面一行代码注释掉
if ( ptr->flags & IFF_PROMISC ) printf( "PROMISC " );
以去掉网卡混杂模式显示。如果"strings /sbin/ifconfig | grep PROMISC"没有输出,
ifconfig肯定已被修改过了。
5) netstat后门
检查/dev目录,检查是否存在"/dev/ptyq"一类的文件,用"ls -l"看结果是否为
-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq
而不是
crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq
或
brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***
如果有,而执行netstat时用lsof发现它被打开,说明netstat被植入木马。如果命令行
中netstat接受"-/"选项(原有代码中没有这个选项),那么,netstat肯定被修改过了。
如果strings netstat | grep "/dev/pty"有输出,或者直接strings netstat发现可疑
路径或文件名,说明已经被修改过。
netstat木马程序的一个实现不支持"-p"选项,而系统自身的netstat实现支持"-p"选项。
因此如果发现netstat不支持"-p"选项,肯定netstat被修改过。另外,Linux系统的"-p"
选项表示打印出进程号(pid)和程序名(program name)信息,而Solaris系统上"-p"表示打
印出ARP Cache信息。如果发现与这一点不符,netstat就被修改过。
6) ps后门
检查/dev目录,查找是否有诸如"/dev/ptyp"之类的文件,用"ls -l"看结果是否为
-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp
而不是
crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp
或
brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***
如果有,而执行ps时用lsof发现它被打开,说明ps被植入木马。如果命令行中ps接受"-/"
选项(原有代码中没有这个选项),那么ps肯定被修改过。如果
strings ps | grep "/dev/pty"有输出,或者直接strings ps发现可疑路径和文件名,说
明已经被植入木马。
7) top后门
检查/dev目录,查找是否有诸如"/dev/ptyp"之类的文件,用"ls -l"看结果是否为
-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp
而不是
crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp
或
brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***
如果有,而执行top时用lsof发现它被打开,说明ps被植入木马。如果命令行中top接
受"-/"选项(原有代码中没有这个选项),那么top肯定被修改过。如果
strings top | grep "/dev/pty"有输出,或者直接strings top发现可疑路径和文件名,
说明已经被植入木马。
8) tcpd后门
tcpd中有一段代码,这段代码对远程主机名进行查询和检查,拒绝可疑连接。木马的目的
是使这段代码失效。
检查/dev目录,查找是否有诸如"/dev/ptyq"之类的文件,用"ls -l"看结果是否为
-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq
而不是
crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq
或
brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***
如果有,而启动tcpd时用lsof发现它被打开,说明tcpd被植入木马。如果tcpd接受"-/"
选项(原有代码中没有这个选项),那么tcpd肯定被修改过。如果
strings tcpd | grep "/dev/pty"有输出,或者直接strings tcpd发现可疑路径和文件名,
说明已经被植入木马。