一些常见后门

linux后门

一、前提：已经是root用户，想留一个后门

suid shell

woot前面的''并不是必须的，只是为了隐藏文件( 在文件名的最前面加上“”，就可以在任意文件目录下进行隐藏)

chmod 4755——作用，使所有使用woot文件的用户都具有文件所有者的权限

此时权限并没有改变，因为bash2 针对 suid有一些护卫的措施 但这也不是不可破的:

二、Unix Bash 远控后门

先创建 /etc/xxxx 脚本文件

设置权限 chmod +sx /etc/door

修改一下 /etc/crontab 让它定时执行

nano /etc/crontab    在 /etc/crontab 文件末加入这一行。代表每 1 分钟执行一次。
/1 root /etc/xxxx

最后重启一下 crond 的服务。（不同发行版重启方式不一样，自行查询）

service cron reload

service cron start

然后在 xxxx 的服务器上使用nc 接收 Shell 即可。

三、常见的Web后门
weevely——针对php

生成密码为123的后门文件
weevely generate 123 /root/weevelyphp

上传到目标服务器，然后远程连接

weevely <目标URL> <密码>就能成功连接上了

1、检查系统密码文件
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
awk –F: ‘length($2)==0 {print $1}’ /etc/shadow
2、查看一下进程，看看有没有奇怪的进程
重点查看进程：ps –aef | grep inetd
inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。
输入ps –aef 查看输出信息，尤其注意有没有以/xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，会找到很多有趣的东东，
接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。
3、检查系统守护进程
检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是你这台机器所开启的远程服务。
一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。
输入netstat –rn，查看本机的路由、网关设置是否正确。
输入 ifconfig –a，查看网卡设置。
5、检查系统日志
命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。

先找到后门进程关闭有服务的服务停止，然后找到后门文件删除，在修改注册表被修改的项，然后安装最新的系统补丁。尽量少在服务器上，打开网页之类的 *** 作。如果不能彻底清除，就重装系统
安装补丁。

一、安装配置dhcp[root@localhost ~]# yum -y install dhcp[root@localhost ~]# cd /usr/share/doc/dhcp-4"; DNS服务器域名option domain-name-servers 192168124; DNS服务器的IP地址default-lease-time 360000; 默认租约时间max-lease-time 720000; 最大租约时间ddns-update-style none;log-facility local7;subnet 19216810 netmask 2552552550 { 分配的网段19216810/24range 1921681100 1921681230; 分配的ip地址区间；option routers 19216811; 网关ip；option broadcast-address 1921681255; 广播地址；}host boss { boss为主机名，随便取；hardware ethernet 00:0C:29:6C:A6:F8; 主机网卡的mac地址；fixed-address 192168110; 给其分配的ip；}[root@localhost ~]# /etc/initd/dhcpd restart关闭 dhcpd： [确定]正在启动 dhcpd： [确定]三、查看端口监听状态[root@localhost ~]# netstat -ltunp grep dhcpdudp 0 0 0000:67 0000: 5346/dhcpdLinux系统下构建DHCP服务器 /Linux/2013-06/86531htmCentOS下配置主从DNS服务器以及DHCP下的DDNS/Linux/2013-06/85634htmSUSELinux 11 pxe+DHCP+tftp+ftp 无人值守安装/Linux/2013-06/85481htmLinux下架设DHCP服务器过程及3种测试 /Linux/2013-05/84832htmLinux上一步一步实现DHCP服务器 /Linux/2013-04/82244htmCentOS 65系统下构建DHCP服务器 /Linux/2014-06/103203htm

问题一：网络中后门是什么意思？ bac钉door
留下的隐藏程序
开启特定端口,等待控制者随时连接并对该电脑进行 *** 作
后门是一个形象化的说法

问题二：7，网络后门的功能是（） A

问题三：软件有后门是什么意思？ 上面的人 你们懂不懂简单点来说就是 写软件的人 为了某种目的 故意在软件编写的脚本中 留下一些 能够为将来 对该软件 或者使用该软件的人 进行一些 不可告人的目的的 *** 作故意编写的一些 恶意编码 为了将来的远程控制 窃取信息 或者是 恶意破坏 比如 以前某反病毒公司 为了防止盗版 就在软件中注入了 病毒程序 只要检测到 该用户没有用正版 该病毒就发作 致使用户电脑瘫痪 无法使用 就是典型的 后门程序~

问题四：黑客所说的后门是什么？怎样进入后门？用什么软件？ 后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。
后门程序又称特洛依木马，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。
还不错，希望你采纳。

问题五：后门是意思什么 后门程序是入侵者普便使用的程序，后门程序又称为：特洛伊木马(Trojan Horse)。
“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前，在一次希腊战争中，麦尼劳斯派兵讨伐特洛伊，但逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。城中得到解围的消息，又得到“木马”这个奇异的战利品，全城饮酒狂欢。到午夜时，全城军民尽入梦乡，藏匿于木马中的将士打开密门游绳而下，开启城门四处纵火，城外伏兵涌入，焚屠特洛伊城。后来称这只大木马为“特洛伊木马”，所以也就有了电脑里的特洛伊木马。
特洛伊木马有以下的特点：
● 主程序有两个，一个是服务端，另一个是控制端。
● 服务端需要在主机执行，程序体积十分细小，执行时不会占用太多资源，第一次执行后就会自动登录在系统激活区，之后每次在 Windows 加载时自动执行。
● 一般特洛伊木马程序都是隐蔽的进程，执行时很难停止它的活动。
● 当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，则会执行相应的任务。
在许多人眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病毒的特性。(包括：转播，感染文件等。)
特洛伊木马是指一个程序表面上在执行一个任务，实际上却在执行另一个任务。入侵者的特洛伊木马程序事先已经以某种方式潜入受害的机器中，并在适当的时候激活，潜伏在后台监视系统的运行。它同一般程序一样能实现任何软件的任何功能。例如，拷贝、删除文件、格式化硬盘，甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的账号和口令，它有时在用户合法登录前伪造一个登录现场，提示用户输入账号和口令，然后将账号和口令保存至一个文件中，显示登录错误，退出特洛伊木马程序。用户还以为自己输错了，再试一次时，已经是正常的登录了，用户也就不会有怀疑。其实，特洛伊木马已完成了任务。更为恶性的特洛伊木马则会对系统进行全面破坏。
特洛伊木马最大的缺陷在于，必须先想方设法将木马程序植入到用户的机器中去。这也是为什么建议普通用户不要轻易地执行电子邮件中附带程序的原因之一，因为特洛伊木马可能就在你的鼠标单击之间悄然潜入到了你的系统之中。接下来我们将详细介绍一些常用木马的使用，了解一下入侵者是如何控制受害计算机的。

问题六：后门程序是什么 打开了会怎样 20分 通过后门可以完全控制你的电脑。**你的资料信息，监控你的摄像头（前提是你的视屏链接在电脑上），遥控你的电脑成为网络僵尸的一员~~就和个傀儡差不多

问题七：计算机网络中,留后门的原则是什么 没有原则，
其实留后门和下马都是一个道理，就是想叫自己
今后可以轻而易举的进进出出，不过对于后门
很多情况下都想到了“木马”。也可以这么说。
不过道上稍微有些锭脑的人都知道，最隐秘、最
有效的后门不是在对方的机器上放什么“马”。
而是在对方的系统设置里动些手脚，在不安装额外
程序的同时，给自己留一个方便。

问题八：什么是软件后门？每个软件都有吗 当一个训练有素的程序员设计一个功能较复杂的软件时，都习惯于先将整个软件分割为若干模块，然后再对各模块单独设计、调试，而后门则是一个模块的秘密入口。在程序开发期间，后门的存在是为了便于测试、更改和增强模块的功能。当然，程序员一般不会把后门记入软件的说明文档，因此用户通常无法了解后门的存在。
/按照正常 *** 作程序，在软件交付用户之前，程序员应该去掉软件模块中的后门，但是，由于程序员的疏忽，或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问，方便测试或维护已完成的程序等种种原因，实际上并未去掉。
这样，后门就可能被程序的作者所秘密使用，也可能被少数别有用心的人用穷举搜索法发现利用。

问题九：什么是后门程序 后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。与木马的关系后门程序，跟我们通常所说的木马有联系也有区别联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是trojan字样具体含义后门程序又称特洛依木马，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。后门的类型后门包括从简单到奇特，有很多的类型。简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序，你当输入特定的密码时，你就能以管理员的权限来存取系统。后门能相互关联，而且这个 技术被许多黑客所使用。例如，黑客可能使用密码破解一个或多个账号密码，黑客可能会建立一个或多个账号。一个黑客可以存取这个系统，黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能使用一些技术或利用系统的某个漏洞来提升权限。黑客可能会对系统的配置文件进行小部分的修改，以降低系统的防卫性能。也可能会安装一个木马程序，使系统打开一个安全漏洞，以利于黑客完全掌握系统。以上是在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!――很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!下文将以笔者从事网络安全多年的工作经验为基础，给广大的网络初级安全爱好者讲解一些网络上常 用的后门的种类和使用方法以及技巧，希望大家能在最短的时间内学习到最好的技术，提升自己的网络安全技术水平!后门的分类后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：网页后门此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如现在非常流行的ASP、cgi脚本后门等。线程插入后门利用系统自身的某个服务或者线程，将后门程序插入到其中，具体原理原来《黑客防线》曾具体讲解过，感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。扩展后门所谓的“扩展”，是指在功能上有大的提升，比普通的单一功能的后门有很强的使用性，这种后门本身就相当于一个小的安全工具包，能实现非常多的常驻见安全功能，适合新手使用――――但是，功能越强，个人觉得反而脱郭后门“隐蔽”的初衷，具体看法就看各位使用都的喜好了。c/s后门和传统的木马程序类似的控制方法，采用“客记端/服务端”的控制方式，通过某种特定的访问方式来启动后门进而控制服务器。

问题十：为什么软件有后门？有什么作用？如何给软件制作后门？如何知道一个软件有没有后门？ 5分 太专业的东西学了也没用，除非你想当黑客，常杀毒，少看某些网站即可

---