网络管理员日记（８）里应外合：Linux下的后门和日志工具

攻入Linux系统后，很多入侵者往往就开始得意忘形了。这其中还有一个原因，就是技术性也要求更高了。下面，我们来看看一些常用的经典工具。(未经允许，谢绝转载！)

1、从这里延伸：后门和连接工具

（1）Httptunnel

Tunnel的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上，它是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点，就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。

HTTPTunnel包括两个程序：htc和hts，其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是192.168.10.231，本地机器IP是192.168.10.226，因为防火墙的原因，本地机器无法连接到FTP上。怎么办？现在就可以考虑使用HTTPTunnel了。过程如下：

第一步：在本地机器上启动HTTPTunnel客户端。用Netstat看一下本机现在开放的端口，会发现8888端口已在侦听。

第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令“hts -f localhost:21 80”，这个命令的意思是说，把本机的21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。

第三步：在本地机器上用FTP连接本机的8888端口，会发现已经连上对方的机器了。那么，为什么人家看到的是127.0.0.1，而不是192.168.10.231呢？因为我们现在是连接本机的8888端口，防火墙肯定不会有反应，如果没往外发包，局域网的防火墙肯定就不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。

需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在也不会出现什么问题，重定向的隧道服务将畅通无阻！

（2）Tcp_wrapper

Tcp_wrapper是Wietse Venema开发的一个免费软件。Tcp_wrapper的诞生有个小小的故事，大约1990年，作者所在大学的服务器屡屡受到一个外来黑客侵入，因为受害主机的硬盘数据屡次被rm -rf/命令整个抹掉，所以找寻线索极为困难，直到有一天晚上作者在工作的过程中无意中发现这个黑客在不断的finger 受害主机、偷窥受害者的工作。于是，一个想法诞生了：设计一个软件，使它可以截获发起finger请求的IP，用户名等资料。Venema很快投入了工作，而Tcp_wrapper也由此诞生！此后，Tcp_wrapper随着广泛的应用逐渐成为一种标准的安全工具。通过它，管理员实现了对inetd提供的各种服务进行监控和过滤。

Tcp_wrapper编译安装成功后，会生成一个tcpd程序，它可以在inetd.conf这个控制文件中取代in.telnetd的位置，这样，每当有telnet的连接请求时，tcpd即会截获请求，先读取管理员所设置的访问控制文件，合乎要求，则会把这次连接原封不动的转给真正的in.telnetd程序，由in.telnetd完成后续工作。如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供telnet服务。Tcp_wrapper访问控制的实现是依靠两个文件:hosts.allow，hosts.deny来实现的。如果我们编辑/etc/syslog.conf文件时，加入了日志纪录功能，即：

#tcp wrapper log
local3.info /var/log/tcplog

编辑结束后，保存文件，在/var/log下会生成tcplog文件，注意这个文件的读写属性， 应该只对root有读写权限。然后ps -ef | grep syslogd，找出syslogd的进程号，kill -HUP 重启syslogd进程使改动生效。 在这里，我们可以预先看一看以后生成的tcplog文件内容，如下：

Jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1
Jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5
Jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3
Aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5
Aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1

从上面我们可以看到，在安装了Tcp_wrapper的主机上，系统的每一次连接，Tcp_wrapper都做了纪录，它的内容包括时间、服务、状态、ip等，对攻击这有很大的参考价值，不过，一定要记得清除日志了。

（3）rootkit工具：LRK

Rootkit出现于二十世纪90年代初，它是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击或者密码猜测获得系统的访问权限。接着，攻击者会在侵入的主机中安装rootkit，然后他会通过rootkit的后门检查系统，看是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

如果攻击者能够正确地安装rootkit并合理地清理了日志文件，系统管理员就会很难察觉系统已经被侵入，直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满，他才会察觉已经大祸临头了。不过，在系统恢复和清理过程中，大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序，在安装rootkit之前，攻击者可以首先使用这个程序做一个系统二进制代码的快照，然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序，并且在安装rootkit时行为谨慎，就会让系统管理员很难发现。

下面我们介绍一个非常典型的针对Linux系统的LRK版本6。Linux Rootkit 6是一个开放源码的rootkit，经过多年的发展，Linux Rootkit的功能越来越完善，具有的特征也越来越多。下面我们简单地介绍一下Linux Rootkit包含的各种工具。

ls、find、du。这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间。在编译之前，入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置，默认是/dev/ptyr。注意如果在编译时使用了SHOWFLAG选项，就可以使用ls -/命令列出所有的文件。这几个程序还能够自动隐藏所有名字为：ptyr、hack.dir和W4r3z的文件。

ps、top、pidof。这几个程序用来隐藏所有和入侵者相关的进程。

netstat。隐藏出/入指定IP地址或者端口的网络数据流量程。

killall。不会杀死被入侵者隐藏的进程。

ifconfig。如果入侵者启动了嗅探器，这个程序就阻止PROMISC标记的显示，使系统管理员难以发现网络接口已经处于混杂模式下。

crontab。隐藏有关攻击者的crontab条目。

tcpd。阻止向日志中记录某些连接。

syslogd。过滤掉日志中的某些连接信息。

其次是后门程序。木马程序可以为本地用户提供后门；木马网络监控程序则可以为远程用户提供inetd、rsh、ssh等后门服务，具体因版本而异。随着版本的升级，Linux Rootkit IV的功能也越来越强大，特征也越来越丰富。

再就是工具程序。所有不属于以上类型的程序都可以归如这个类型，它们实现一些诸如：日志清理、报文嗅探以及远程shell的端口绑定等功能。

（4）netcat

这是一个简单而有用的工具，能够通过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接，还有几个很有意思的内置功能。

2、查找Linux下的蛛丝马迹：日志工具

对于高明的攻击者来说，进入系统后，还应了解自己的“蛛丝马迹”并清除这些痕迹，自然就要了解一些日志工具了。

1）logcheck

logchek 可以自动地检查日志文件，定期检查日志文件以发现违反安全规则以及异常的活动。它先把正常的日志信息剔除掉，把一些有问题的日志保留下来，然后把这些信息 email 给系统管理员。logcheck 用 logtail 程序记住上次已经读过的日志文件的位置，然后从这个位置开始处理新的日志信息。logcheck 主要由下面几个主要的文件：

logcheck.sh
可执行的脚本文件，记录logcheck检查那些日志文件等，我们可以把它加入crontab中定时运行。

logcheck.hacking
是logcheck 检查的模式文件。和下面的文件一起，按从上到下的顺序执行。这个文件表明了入侵活动的模式。

logcheck.violations
这个文件表示有问题，违背常理的活动的模式。优先级小于上面的那个模式文件。

logcheck.violations.ignore
这个文件和上面的logcheck.violations的优先是相对的，是我们所不关心的问题的模式文件。

logcheck.ignore
这是检查的最后一个模式文件。如果没有和前三个模式文件匹配，也没有匹配这个模式文件的话，则输出到报告中。

Logtail
记录日志文件信息。

Logcheck首次运行时读入相关的日志文件的所有内容，Logtail会在日志文件的目录下为每个关心的日志文件建立一个logfile.offset 的偏移量文件，以便于下次检查时从这个偏移量开始检查。Logcheck执行时，将未被忽略的内容通过邮件的形式发送给 logcheck.sh 中 系统管理员指定的用户。

（2）logrotate

一般Linux 发行版中都自带这个工具。它可以自动使日志循环，删除保存最久的日志，它的配置文件是 /etc/logrotate.conf，我们可以在这个文件中设置日志的循环周期、日志的备份数目以及如何备份日志等等。在/etc/logrotate.d目录下，包括一些工具的日志循环设置文件，如syslog等，在这些文件中指定了如何根据/etc/logrotate.conf做日志循环，也可以在这里面添加其他的文件以循环其他服务的日志。

（3）swatch

swatch 是一个实时的日志监控工具，我们可以设置感兴趣的事件。Swatch 有两种运行方式：一种可以在检查日志完毕退出，另一种可以连续监视日志中的新信息。Swatch提供了许多通知方式，包括email、振铃、终端输出、多种颜色等等。安装前，必须确保系统支持perl。swatch 软件的重点是配置文件swatchmessage，这个文本文件告诉 swatch 需要监视什么日志，需要寻找什么触发器，和当触发时所要执行的动作。当swatch发现与swatchmessage中定义的触发器正则表达式相符时，它将执行在 swatchrc中定义的通知程序。

当然，上面所介绍的软件只是Linux大海中的几只美丽的贝壳，随着越来越多的用户加入到Linux大军中，我们相信，优秀的Hack也将越来越多，这反过来也将促进Linux操作系统逐步走向成熟，我们拭目以待。