Linux木马-自动运行（一）

1.1 实验环境

1.2 模拟木马程序自动运行

1.2.1 木马自动运行方法

1. 计划任务：crontab
2. 开机启动
3. 系统命令被人替换，定一个触发事件

1.2.2 编写木马模拟程序

[[email protected] ~]# vim /usr/bin/muma
#!/bin/bash

touch /tmp/date.txt
while true
do
  echo `date` >> /tmp/date.txt
  sleep 1
done
[[email protected] ~]# chmod +x /usr/bin/muma

1.2.3 让木马无法被root删除

[[email protected] ~]# chattr +i /usr/bin/muma
[[email protected] ~]# rm -f /usr/bin/muma
rm: cannot remove ‘/usr/bin/muma’: Operation not permitted
[[email protected] ~]# lsattr /usr/bin/muma
----i----------- /usr/bin/muma
[[email protected] ~]# lsattr /usr/bin/muma

1.3 定时任务运行木马方式排查

1.3.1 创建定时任务

1.3.1.1 crontab命令创建定时任务

【root用户定时任务】：

[[email protected] ~]# crontab -e
1 2 * * * /usr/bin/muma &

[[email protected] ~]# crontab -u bin -e
1 2 * * * /usr/bin/muma &

1.3.1.2 常见系统级别定时任务

【方式一】：

[[email protected] ~]# echo "1 2 * * * root /usr/bin/muma &" >> /etc/crontab

[[email protected] ~]# vim /etc/cron.daily/logrotate
  1 #!/bin/sh
  2
  3 /usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf
  4 EXITVALUE=$? 
  5 if [ $EXITVALUE != 0 ]; then
  6     /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
  7 fi
  8 /usr/bin/muma &
  9 exit 0

1.3.2 定时任务排查

1.3.2.1 查看crontab命令生成的定时任务

所有用户的计划任务都会在/var/spool/cron/下产生对应的文件，只要看一下这个目录下的文件，就知道哪些用户生成了计划任务：

[[email protected] ~]# ll -h /var/spool/cron/
total 8.0K
-rw------- 1 root root 26 Jul 27 11:01 bin
-rw------- 1 root root 26 Jul 27 10:56 root

1.3.2.2 查看系统级别的计划任务

[[email protected] ~]# ll -h /etc/cron
cron.d/       cron.daily/   cron.deny     cron.hourly/  cron.monthly/ crontab       cron.weekly/

• crontab：写具体时间的系统级别的定时任务
• d/：系统级别的定时任务
• daily/：系统每天要执行的计划任务
• hourly/：系统每小时要执行的计划任务
• monthly/：系统每月要执行的计划任务
• weekly/：系统每周要执行的计划任务

1.4 开机启动运行木马方式排查

1.4.1 创建开机启动任务

1.4.1.1 追加到开机启动脚本中

echo "/usr/bin/muma" >> /etc/rc.local

1.4.1.2 追加到开机启动服务的启动脚本中

[[email protected] ~]# vim /etc/init.d/network
17 . /etc/init.d/functions
18 /usr/bin/muma
19 if [ ! -f /etc/sysconfig/network ]; then

1.4.1.3 自己编写开机启动服务脚本

[[email protected] ~]# vim /etc/init.d/muma
#!/bin/sh
# chkconfig: 12345 90 90
# description: muma
### END INIT INFO
case $1 in
start)
  /usr/bin/muma &
  ;;
stop)
  ;;
*)
  /usr/bin/muma &
  ;;
esac
[[email protected] ~]# chmod +x /etc/init.d/muma
[[email protected] ~]# chkconfig --add muma
[[email protected] ~]# service muma start

1.4.2 开机启动排查

1.4.2.1 开机启动脚本排查

注意：很多人vim打开一个文件看到文档的后面是一片空白就认为达到文件的最后了，所以黑客在/etc/rc.local中添加很多空行，然后在文档最后添加木马程序也可以躲避一些运维人员的视线，达到隐藏木马的目的。

[[email protected] ~]# egrep -v "^$|#" /etc/rc.local        # 使用egrep过滤空行防止上述问题发生
touch /var/lock/subsys/local
/usr/bin/muma

1.4.2.2 自己编写开机脚本排查

【查看木马启动脚本】：

[[email protected] ~]# ll /etc/rc*/* | grep muma
lrwxrwxrwx  1 root root  14 Jul 27 15:11 /etc/rc0.d/K90muma -> ../init.d/muma
lrwxrwxrwx  1 root root  14 Jul 27 15:11 /etc/rc1.d/S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root  14 Jul 27 15:11 /etc/rc2.d/S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root  14 Jul 27 15:11 /etc/rc3.d/S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root  14 Jul 27 15:11 /etc/rc4.d/S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root  14 Jul 27 15:11 /etc/rc5.d/S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root  14 Jul 27 15:11 /etc/rc6.d/K90muma -> ../init.d/muma
-rwxr-xr-x  1 root root   156 Jul 27 15:07 muma
lrwxrwxrwx  1 root root 14 Jul 27 15:11 K90muma -> ../init.d/muma
lrwxrwxrwx  1 root root 14 Jul 27 15:11 S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root 14 Jul 27 15:11 S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root 14 Jul 27 15:11 S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root 14 Jul 27 15:11 S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root 14 Jul 27 15:11 S90muma -> ../init.d/muma
lrwxrwxrwx  1 root root 14 Jul 27 15:11 K90muma -> ../init.d/muma

[[email protected] ~]# chkconfig --del muma
[[email protected] ~]# rm -rf /etc/init.d/muma

1.5 排查命令被修改

1.5.1 检查单个命令是否被修改

1.5.1.1 未被修改情况

[[email protected] bin]# rpm -Vf /usr/bin/w

1.5.1.2 被修改情况

[[email protected] bin]# echo aaaa >> /usr/bin/w
[[email protected] bin]# rpm -Vf /usr/bin/w
S.5....T.    /usr/bin/w

• S：文件大小不一致
• M：模式不一致(包括许可和文件类型)
• 5：MD5 sum校验和不一致
• D：Device主从设备号不匹配
• L：readLink(2)路径不匹配
• U：User属主不一致
• G：Group所属组不一致
• T：mTime修改时间不一致

1.5.2 检查所有rpm安装的命令是否别修改

[[email protected] ~]# rpm -Va > /tmp/rpm_check.txt
[[email protected] ~]# cat /tmp/rpm_check.txt
S.5....T.    /usr/bin/w
S.5....T.  c /etc/ssh/sshd_config
SM5....T.  c /etc/rc.d/rc.local
S.5....T.    /etc/rc.d/init.d/network
S.5....T.  c /etc/crontab
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/postlogin
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/security/limits.conf
S.5....T.  c /etc/my.cnf
S.5....T.  c /etc/chrony.conf
S.5....T.  c /etc/php.ini
S.5....T.  c /etc/httpd/conf/httpd.conf
.....UG..    /var/www/html
S.5....T.  c /etc/issue
S.5....T.  c /etc/issue.net
S.5....T.  c /etc/yum.repos.d/CentOS-Base.repo
missing     /var/run/abrt
S.5....T.  c /etc/sysconfig/authconfig
.......T.  c /etc/cron.daily/logrotate

1.6 排查木马方法总结

• 对比其他服务器完好的配置文件，利用MD5值做对比
• 利用find命令查找下最近被修改过的文件，一般情况下命令文件都很久之前被修改的：

[[email protected] ~]# find /etc/init.d/ -mtime -1
/etc/init.d/
/etc/init.d/network

• 被入侵后检测所有rpm -Va生成的文件是否被改动过