[root@victim root]# mv -f pstree /usr/bin/pstree
[root@victim root]# mv -f find /usr/bin/find
[root@victim root]# mv -f dir /usr/bin/dir
[root@victim root]# mv -f md5sum /usr/bin/md5sum
[root@victim root]# mv -f top /usr/bin/top
[root@victim root]# mv -f slocate /usr/bin/slocate
[root@victim root]# mv -f lsof /usr/sbin/lsof
顺便把他的文档删除,免得被管理员发现了。
[root@victim root]# rm -f /sbin/ttyload
[root@victim root]# rm -f /sbin/ttymon
[root@victim root]# rm -f /usr/sbin/ttyload
[root@victim root]# rm -f /etc/sh.conf
去掉启动的东西,擦掉日志中关于ac9e2da9.ipt.aol.com的记录,shadow抓回来跑跑,reboot,交给wzt测试代码去了,呵呵。
假如有什么疑问,能够到http://cnhonker.com/bbs/ 的linux版交流
本文不断更新中,欲获得最新版本,请关注http://baoz.net或http://xsec.org的更新信息。
说在最后:
上面说到的方法只是一些最基本的方法,并且rkhunter,chkrootkit这样的程式都是只能检测默认安装的rootkit,修改过的rootkit或没公开的rootkit,他们是基本很难找到的。怎么办?自动化查找不行了,就只有靠我们手动分析了,这个就是体现安全管理员水平高低的时候了。
早睡早起身体好,睡觉去咯。
TODO:
检查LKM
