一:什么是rootkit病毒木马?

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

以上文字引自百度百科。

二:安装

本次玩的木马名为Reptile 。github地址:

https://github.com/f0rb1dd3n/Reptile/

假设黑客通过漏洞已拿到服务器root权限,他就可以在服务器上安装rootkit木马后门,来躲避运维同事的检查。长期驻留在服务器去做一些羞羞的事情。

测试环境(自己的腾讯云主机):centos7.2

1.png

安装rootkit:

2.png

安装完rootkit后门后,后门文件是隐藏的,木马后门文件是

/reptile/reptile_cmd

用 ls -alh 命令是看不到后门文件的:

3.png

但是木马文件是存在的:

4.png

三:做一些羞羞的事情

查看服务器正常用户:

5.png

安装完rootkit后,任何文件,只要添加上#<reptile> #</reptile>这个标签,标签里的内容就会被隐藏起来。

#<reptile> 
要影藏的内容
#</reptile>

那好办了,先添加用户

6.png

把用户改为root权限后用新添加的用户连接服务器:

7.png

编辑/etc/passwd文件,添加隐藏标签:

8.png

再次查看/etc/passwd文件,已无法看到"忘了爱"用户:

9.png

该rootkit病毒木马不仅可以隐藏文件内容,还可以隐藏网络连接信息,隐藏指定的进程,让服务器管理员看不到黑客的网络连接信息。

查看网络连接,并隐藏某一条tcp网络连接信息:

10.png

进程隐藏:

11.png

该rootkit木马后门的强大功能不仅仅是这些,还可以隐藏文件,反弹后门shell等等,听说有端口复用功能,这个还没做过,以后不忙的时候可以玩玩。

黑客们绞尽乳汁的入侵一个服务器,拿到权限后都不想很快被管理员发现,所以他们会利用各种猥琐手段来留下后门,以便以后随时可以再进入到服务器。

标签: rootkit后门木马

添加新评论