神不知鬼不晓,运用Shell剧本掩饰笼罩通博8888官网效劳器上的操纵陈迹 - 51CTO.COM
|
|
|
|
挪动端

神不知鬼不晓,运用Shell剧本掩饰笼罩通博8888官网效劳器上的操纵陈迹

运用 Shell 剧本在 通博8888官网 效劳器上可以控制、破坏或许获取任何工具,经过一些奇妙的打击办法黑客能够会获取宏大的代价,但大少数打击也留下踪迹。固然,这些踪迹也可经过 Shell 剧本等办法来隐蔽。

作者:JingleCats泉源:马哥通博8888官网运维|2018-02-09 10:40

技能沙龙 | 邀您于8月25日与国美/AWS/转转三位专家配合讨论小顺序电商实战

运用 Shell 剧本在 通博8888官网 效劳器上可以控制、破坏或许获取任何工具,经过一些奇妙的打击办法黑客能够会获取宏大的代价,但大少数打击也留下踪迹。固然,这些踪迹也可经过 Shell 剧本等办法来隐蔽。

寻觅打击证据就从打击者留下的这些陈迹开端,如文件的修正日期。每一个 通博8888官网 文件零碎中的每个文件都保管着修正日期。零碎办理员发明文件的近来修正工夫,便提示他们零碎遭到打击,接纳举动锁定零碎。但是侥幸的是,修正工夫不是相对牢靠的记载,修正工夫自身可以被诈骗或修正,经过编写 Shell 剧本,打击者可将备份和规复修正工夫的进程主动化。

操纵步调

 第一步:检查和操纵工夫戳 

少数 通博8888官网 零碎中包括一些容许我们疾速检查和修正工夫戳的东西,此中最具影响确当数 “Touch”,它容许我们创立新文件、更新文件 / 文件组最初一次被 “touched” 的工夫。

  1. touch file 

若该文件不存在, 运转下面的下令将创立一个名为 “file” 的新文件;若它曾经存在,该下令将会更新修正日期为以后零碎工夫。我们也可以运用一个通配符,如上面的字符串。

  1. touch * 

这个下令将更新它运转的文件夹中的每个文件的工夫戳。在创立和修正文件之后,有几种办法可以检查它的细致信息,第一个运用的为 “stat” 下令。

  1. stat file 

运转 stat 会前往一些关于文件的信息,包括拜访、修正或更新工夫戳。针对一批文件可运用 ls 参数检查各文件的工夫戳,运用 “ -l” 或许 “long”,该下令会列出文件细致信息,包括输入工夫戳。

  1. ls –l 

如今就可以设置以后工夫戳并检查曾经设置的工夫戳,也可运用 touch 来界说一个自界说工夫戳,可运用 “d” 标记,用 yyyy-mm-dd 款式界说日期,紧随厥后设置工夫的小时、分钟及秒,如下:

  1. touch -d"2001-01-01 20:00:00" file 

经过 ls 下令来确认修正信息:

  1. ls -l file 

这种办法实用于修正一般工夫戳,关于隐蔽效劳器上的操纵陈迹,这个办法不太见效,可以运用 shell 剧本将该进程主动化。

 步调二:构造 Shell 剧本 

在开端编写剧本之前需求思索清晰需求实行哪些进程。为了在效劳器上隐蔽陈迹,打击者需求将文件夹的原始工夫戳写入一个文件,同时可以在我们停止任何修正设置之后还能回到原始文件。

这两个差别的功用会依据用户的输出或许参数的差别而触发,剧本会依据这些参数实行相应的功用,同时我们需求有一种办法来处置错误。依据用户的输出将会停止三种能够的操纵:

  • 没有参数——前往错误音讯;
  • 保管工夫戳标志——将工夫戳保管到文件中;
  • 规复工夫戳标志——依据保管列表规复文件的工夫戳。

我们可以运用嵌套语句 if/or 语句来创立剧本,也可以依据条件将每个函数分派给本人的 “if” 语句,可选择在文本编辑器或许 nano 中开端编写剧本。

 步调三:开端剧本 

服从令行启动 nano 并创立一个名为 “timestamps.sh” 的剧本,下令如下:

  1. nano timestamps.sh 

然落伍行下列下令:

  1. #!/bin/bash  
  2. if [$# -eq 0];then  
  3. echo “Use asave (-s) or restore (-r) parameter.”  
  4. exit 1  
  5. fi 

在 nano 中按下 Ctrl + O 保管这个文件,经过 chmod 下令将它标志为可运转的剧本。

  1. chmod +x timestamps.sh 

然后运转剧本,测试无参数时前往错误信息的功用。假如剧本前往我们的 echo 语句,我们就可以持续下一个条件了。

  1. ./timestamps.sh 

 步调四:将工夫戳写入文件 

界说 if 语句的条件,“-s” 表现实行保管功用:

  1. if [$1 ="-s"] ; then  
  2. fi  

固然,需求反省方案保管的工夫戳文件能否存在,假如存在,我们可以删除它(名为 timestamps 的文件),防止反复或错误的输出,运用上面的下令:

  1. rm -f timestamps; 

然后运用 “ls” 下令列出一切文件和它的修正工夫,可将其输入到另一个顺序,如 sed,以协助我们稍后清算这个输出。

  1. ls –l 

通常会呈现上面的表现后果:

  1. -rw-r--r-- 1 user user 0 Jan 1 2017 file 

为了保管工夫戳,我们只需求年、月、日及文件名,上面下令可以肃清 “Jan” 之前的信息:

  1. ls -l file | sed 's/^.*Jan/Jan/p' 

如许表现的便是我们顺序需求的信息,只是需求修正月份款式为数字款式:

  1. ls -l file | sed 's/^.*Jan/01/p' 

将一切月份都交换为数字:

  1. ls -l | sed -n 's/^.*Jan/01/p;s/^.*Feb/02/p;s/^.*Mar/03/p;s/^.*Apr/04/p;s/^.*May/05/p;s/^.*Jun/06/p;s/^.*Jul/07/p;s/^.*Aug/08/p;s/^.*Sep/09/p;s/^.*Oct/10/p;s/^.*Nov/11/p;s/^.*Dec/12/p;' 

在一个文件夹中运转我们会看到如下图所示的后果:

然后将输入后果经过 “>>” 发送到名为 “timestamps” 的文件中:

  1. do echo $x | ls -l | sed -n 's/^.*Jan/01/p;s/^.*Feb/02/p;s/^.*Mar/03/p;s/^.*Apr/04/p;s/^.*May/05/p;s/^.*Jun/06/p;s/^.*Jul/07/p;s/^.*Aug/08/p;s/^.*Sep/09/p;s/^.*Oct/10/p;s/^.*Nov/11/p;s/^.*Dec/12/p;' >> timestamps 

至此,剧本的前两个操纵就完成了,表现后果如下图:

上面可用 “-s” 标示测试剧本,用 cat 反省保管的信息:

  1. ./timestamps.sh –s  
  2. cat timestamps 

 步调五:规复文件的工夫戳 

在保管好原始工夫戳后,需求规复工夫戳让他人察觉不到文件被修正过,可运用上面下令:

  1. if $1 = "-r" ; thenfi 

然后运用上面下令,转发文本文件的内容,并一行一行运转:

  1. cat timestamps |while read linedodone 

然后再分派一些变量让文件数据的运用更复杂:

  1. MONTH=$(echo $line | cut -f1 -d ); 
  2.  
  3. DAY=$(echo $line| cut -f2 -d ); 
  4.  
  5. FILENAME=$(echo $line | cut -f4 -d ); 
  6.  
  7. YEAR=$(echo $line | cut -f3 -d ) 

固然这四个变量在保管的工夫戳文件中是分歧的,但是假如工夫戳是在过来一年中发作的,它只会表现工夫而不是年份。假如需求确定以后年份,我们可以分派为写剧本的年份,也可以从零碎中前往年份,运用 cal 下令可以检查日历。

然后检索第一行,只让表现想要得年份信息:

  1. CURRENTYEAR=$(cal | head -1 | cut -f6- -d | sed 's/ //g' 

界说了一切变量之后可以运用 “if else” 语句,依据款式化的日期更新文件的工夫戳,运用 touch 语法:

  1. touch -d "2001-01-01 20:00:00" file 

由于每个工夫都包括冒号,因而可运用上面的 “ifelse” 语句完成操纵,全体操纵如下图所示:

  1. if [ $YEAR == *:* ]; then  
  2. touch -d $CURRENTYEAR-$MONTH-$DAY $YEAR:00 $FILENAME;  
  3. else  
  4. touch -d ""$YEAR-$MONTH-$DAY"" $FILENAME;  
  5. fi 

 步调六:运用剧本 

运用的下令次要有以下几个:

./timestamps.sh –s   保管文件工夫戳

touch -d “2050-10-12 10:00:00″ *   修正目次下的一切文件工夫戳

ls –a   确认修正的文件

./timestamps.sh –r   规复文件原始工夫戳

最初可以再次运转 “ls -a” 来检查文件的工夫戳能否和之前备份的工夫戳分歧,整个的剧本就实行完成了,如下图所示:

总结

该剧本只是用来肃清打击效劳器之后遗留的一些陈迹。为了隐蔽陈迹,黑客在针对效劳器施行详细的打击时,必需细心思索运用的每一个办法,以及入侵效劳器之后怎样隐蔽本人的陈迹。

经过下面的引见我们理解到,工夫戳也是 “会扯谎的”,因而零碎办理员必需认识到他们的很多日记和维护步伐是可以被利用的,固然看起来仿佛没有非常。

原文链接:www.freebuf.com/articles/system/155579.html

【编辑引荐】

  1. 通博8888官网 touch下令实例图文详解
  2. 通博8888官网终端下的多媒体使用
  3. 2018最佳通博8888官网刊行版排行榜
  4. 通博8888官网与Unix之差别在哪?
  5. 【理论】怎样定制嵌入式通博8888官网刊行版
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
各人都在看
猜你喜好

读 书 +更多

Fedora Core 5 通博8888官网架站与网管

通博8888官网精彩的网络功用可谓当今操纵零碎中的佼佼者,无论在功用照旧在支持才能上都有令人称心的体现。通博8888官网内置的多个效劳器,简直包括了现在...

订阅51CTO邮刊

点击这里检查样刊

订阅51CTO邮刊