在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

如何使用Shell腳本在 Linux 服務器尋找攻擊證據

Android編程精選 ? 來源:Android編程精選 ? 作者:Android編程精選 ? 2022-10-09 14:24 ? 次閱讀

使用 Shell 腳本在 Linux 服務器上能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊方法黑客可能會獲取巨大的價值,但大多數攻擊也留下蹤跡。當然,這些蹤跡也可通過 Shell 腳本等方法來隱藏。

尋找攻擊證據就從攻擊者留下的這些痕跡開始,如文件的修改日期。每一個 Linux 文件系統中的每個文件都保存著修改日期。系統管理員發現文件的最近修改時間,便提示他們系統受到攻擊,采取行動鎖定系統。然而幸運的是,修改時間不是絕對可靠的記錄,修改時間本身可以被欺騙或修改,通過編寫Shell 腳本,攻擊者可將備份和恢復修改時間的過程自動化。

操作步驟

第一步:查看和操作時間戳

多數 Linux 系統中包含一些允許我們快速查看和修改時間戳的工具,其中最具影響的當數 “Touch”,它允許我們創建新文件、更新文件/文件組最后一次被 “touched” 的時間。

touchfile

若該文件不存在, 運行上面的命令將創建一個名為 “file” 的新文件;若它已經存在,該命令將會更新修改日期為當前系統時間。我們也可以使用一個通配符,如下面的字符串。

touch*

這個命令將更新它運行的文件夾中的每個文件的時間戳。在創建和修改文件之后,有幾種方法可以查看它的詳細信息,第一個使用的為 “stat” 命令。

statfile

30f6b2e6-4574-11ed-96c9-dac502259ad0.jpg

運行 stat 會返回一些關于文件的信息,包含訪問、修改或更新時間戳。針對一批文件可使用 ls 參數查看各文件的時間戳,使用 “-l” 或者 “long”,該命令會列出文件詳細信息,包含輸出時間戳。

ls–l

31193e56-4574-11ed-96c9-dac502259ad0.jpg

現在就可以設置當前時間戳并查看已經設置的時間戳,也可使用 touch 來定義一個自定義時間戳,可使用 “d” 標志,用 yyyy-mm-dd 格式定義日期,緊隨其后設置時間的小時、分鐘及秒,如下:

touch -d"2001-01-01 2000"file

通過 ls 命令來確認修改信息:

ls-lfile

31662f36-4574-11ed-96c9-dac502259ad0.jpg

這種方法適用于修改個別時間戳,對于隱藏服務器上的操作痕跡,這個方法不太奏效,可以使用 shell 腳本將該過程自動化。

步驟二:組織 Shell 腳本

在開始編寫腳本之前需要考慮清楚需要執行哪些過程。為了在服務器上隱藏痕跡,攻擊者需要將文件夾的原始時間戳寫入一個文件,同時能夠在我們進行任何修改設置之后還能回到原始文件。

這兩個不同的功能會根據用戶的輸入或者參數的不同而觸發,腳本會根據這些參數執行相應的功能,同時我們需要有一種方法來處理錯誤。根據用戶的輸入將會進行三種可能的操作:

沒有參數——返回錯誤消息;

保存時間戳標記——將時間戳保存到文件中;

恢復時間戳標記——根據保存列表恢復文件的時間戳。

我們可以使用嵌套語句 if/or 語句來創建腳本,也可以根據條件將每個函數分配給自己的 “if” 語句,可選擇在文本編輯器或者 nano 中開始編寫腳本。

步驟三:開始腳本

從命令行啟動 nano 并創建一個名為 “timestamps.sh” 的腳本,命令如下:

nano timestamps.sh

然后進行下列命令:

#!/bin/bash
if[$#-eq 0];then
echo“Use asave (-s) or restore (-r) parameter.”
exit1
fi

31835f70-4574-11ed-96c9-dac502259ad0.jpg

在 nano 中按下 Ctrl + O 保存這個文件,通過 chmod 命令將它標記為可運行的腳本。

chmod +xtimestamps.sh

然后運行腳本,測試無參數時返回錯誤信息的功能。如果腳本返回我們的 echo 語句,我們就可以繼續下一個條件了。

./timestamps.sh

31aaad32-4574-11ed-96c9-dac502259ad0.jpg

步驟四:將時間戳寫入文件

定義 if 語句的條件,“-s” 表示執行保存功能:

if[$1="-s"] ;then
fi

當然,需要檢查計劃保存的時間戳文件是否存在,如果存在,我們可以刪除它(名為 timestamps 的文件),避免重復或錯誤的輸入,使用下面的命令:

rm-f timestamps;

然后使用 “ls” 命令列出所有文件和它的修改時間,可將其輸出到另一個程序,如 sed,以幫助我們稍后清理這個輸入。

ls–l

通常會出現下面的顯示結果:

-rw-r--r-- 1 user user 0 Jan 1 2017 file

為了保存時間戳,我們只需要年、月、日及文件名,下面命令可以清除 “Jan” 之前的信息:

ls-lfile| sed's/^.*Jan/Jan/p'

這樣顯示的就是我們程序需要的信息,只是需要修改月份格式為數字格式:

ls-lfile| sed's/^.*Jan/01/p'

將所有月份都替換為數字:

ls -l | sed -n 's/^.*Jan/01/p;s/^.*Feb/02/p;s/^.*Mar/03/p;s/^.*Apr/04/p;s/^.*May/05/p;s/^.*Jun/06/p;s/^.*Jul/07/p;s/^.*Aug/08/p;s/^.*Sep/09/p;s/^.*Oct/10/p;s/^.*Nov/11/p;s/^.*Dec/12/p;'

在一個文件夾中運行我們會看到如下圖所示的結果:

31c5cc98-4574-11ed-96c9-dac502259ad0.jpg

然后將輸出結果通過 “>>” 發送到名為 “timestamps” 的文件中:

doecho $x| ls -l |sed -n's/^.*Jan/01/p;s/^.*Feb/02/p;s/^.*Mar/03/p;s/^.*Apr/04/p;s/^.*May/05/p;s/^.*Jun/06/p;s/^.*Jul/07/p;s/^.*Aug/08/p;s/^.*Sep/09/p;s/^.*Oct/10/p;s/^.*Nov/11/p;s/^.*Dec/12/p;'>>timestamps

至此,腳本的前兩個操作就完成了,顯示結果如下圖:

31e0e140-4574-11ed-96c9-dac502259ad0.jpg

下面可用 “-s” 標示測試腳本,用 cat 檢查保存的信息:

./timestamps.sh–s
cattimestamps

3202fbc2-4574-11ed-96c9-dac502259ad0.jpg

步驟五:恢復文件的時間戳

在保存好原始時間戳后,需要恢復時間戳讓別人覺察不到文件被修改過,可使用下面命令:

if$1="-r"; thenfi

然后使用下面命令,轉發文本文件的內容,并一行一行運行:

cattimestamps |whilereadlinedodone

然后再分配一些變量讓文件數據的使用更簡單:

MONTH=$(echo$line| cut -f1 -d );
DAY=$(echo$line| cut -f2 -d );
FILENAME=$(echo$line| cut -f4 -d );
YEAR=$(echo$line| cut -f3 -d )

雖然這四個變量在保存的時間戳文件中是一致的,但是如果時間戳是在過去一年中發生的,它只會顯示時間而不是年份。如果需要確定當前年份,我們可以分配為寫腳本的年份,也可以從系統中返回年份,使用 cal 命令可以查看日歷。

3220c9b8-4574-11ed-96c9-dac502259ad0.jpg

然后檢索第一行,只讓顯示想要得年份信息:

CURRENTYEAR=$(cal | head -1| cut -f6- -d | sed's/ //g')

3248d9f8-4574-11ed-96c9-dac502259ad0.jpg

定義了所有變量之后可以使用 “if else” 語句,根據格式化的日期更新文件的時間戳,使用 touch 語法:

touch -d"2001-01-01 2000"file

由于每個時間都包含冒號,因此可使用下面的 “ifelse” 語句完成操作,整體操作如下圖所示:

if[$YEAR== *:* ];then
touch -d$CURRENTYEAR-$MONTH-$DAY$YEAR:00$FILENAME;
else
touch -d""$YEAR-$MONTH-$DAY""$FILENAME;
fi

3268f076-4574-11ed-96c9-dac502259ad0.jpg

步驟六:使用腳本

使用的命令主要有以下幾個:

./timestamps.sh–s  保存文件時間戳
touch -d “2050-10-1210:00:00″ *  修改目錄下的所有文件時間戳
ls–a 確認修改的文件
./timestamps.sh–r  恢復文件原始時間戳

最后可以再次運行 “ls -a” 來查看文件的時間戳是否和之前備份的時間戳一致,整個的腳本就執行完成了,如下圖所示:

328f8696-4574-11ed-96c9-dac502259ad0.jpg

總結

該腳本只是用來清除攻擊服務器之后遺留的一些痕跡。為了隱藏痕跡,黑客在針對服務器實施具體的攻擊時,必須仔細考慮使用的每一個方法,以及入侵服務器之后如何隱藏自己的痕跡。

通過上面的介紹我們了解到,時間戳也是 “會撒謊的”,因此系統管理員必須意識到他們的許多日志和保護措施是可以被操縱的,雖然看起來好像沒有異常。

審核編輯:彭靜

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • Linux
    +關注

    關注

    87

    文章

    11304

    瀏覽量

    209483
  • 服務器
    +關注

    關注

    12

    文章

    9160

    瀏覽量

    85416
  • 字符串
    +關注

    關注

    1

    文章

    579

    瀏覽量

    20515
  • Shell腳本
    +關注

    關注

    0

    文章

    36

    瀏覽量

    7971

原文標題:【黑客技能】如何掩蓋 Linux 系統上的操作痕跡?

文章出處:【微信號:AndroidPush,微信公眾號:Android編程精選】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    Linux Shell腳本入門到實戰詳解

    Linux Shell腳本入門到實戰詳解
    發表于 02-17 15:03 ?643次閱讀

    Linux shell腳本分享

    今天浩道跟大家分享幾個Linux運維中常用到的shell腳本
    發表于 07-18 09:53 ?557次閱讀
    <b class='flag-5'>Linux</b> <b class='flag-5'>shell</b><b class='flag-5'>腳本</b>分享

    為你的 Linux 服務器加把鎖

    3 億多次攻擊嘗試的美國國家安全局(NSA)。但是攻擊腳本根本不在乎你是誰。它只是不斷的檢查尋找網絡中存在已知漏洞的服務器
    發表于 12-31 11:01

    面對外部惡意攻擊網站,高防服務器如何去防御攻擊

    絡惡意攻擊,極大提高網絡安全而降低由于網絡惡意攻擊帶來的風險。目前,高防服務器骨干節點上都設置了各種防御手段,能夠無視CC攻擊、防御DDO
    發表于 05-07 17:00

    使用 Shell 腳本掩蓋 Linux 服務器上的操作痕跡的步驟解析

    使用 Shell 腳本 Linux 服務器上能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊
    的頭像 發表于 02-09 15:23 ?3215次閱讀

    如何利用Shell腳本掩藏Linux服務器使用痕跡

    使用 Shell 腳本 Linux 服務器上能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊
    的頭像 發表于 02-13 13:21 ?3321次閱讀

    如何創建和執行一個簡單的Linux shell腳本

     如果您愿意要嘗試更長的shell腳本,請將下面的shell腳本(并附加為PDF和ODT文件)復制到文本編輯中,保存,使其可執行并運行。當
    的頭像 發表于 11-06 17:28 ?1.3w次閱讀

    Linuxshell腳本執的4種方式

    Linuxshell腳本的執行通常有4種方式,分別為工作目錄執行,絕對路徑執行,sh執行,shell環境執行。
    發表于 05-23 09:28 ?919次閱讀
    <b class='flag-5'>Linux</b>中<b class='flag-5'>shell</b><b class='flag-5'>腳本</b>執的4種方式

    Linux系統命令及shell腳本實踐指南

    Linux系統命令及shell腳本實踐指南資料下載。
    發表于 06-01 14:47 ?28次下載

    Linux開發_Makefile規則與Shell腳本語言

    介紹Linux下Makefile編程知識點,Shell腳本知識點。
    的頭像 發表于 09-17 15:40 ?1288次閱讀

    Linux命令行與shell腳本編寫

    Linux命令行與shell腳本編寫
    發表于 01-11 16:50 ?4次下載

    通過Shell腳本掩蓋Linux系統上的操作痕跡

    使用 Shell 腳本 Linux 服務器上能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊
    的頭像 發表于 04-03 10:43 ?533次閱讀

    使用Shell腳本掩蓋Linux上的操作痕跡

    使用 Shell 腳本 Linux 服務器上能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊
    的頭像 發表于 05-23 09:15 ?645次閱讀
    使用<b class='flag-5'>Shell</b><b class='flag-5'>腳本</b>掩蓋<b class='flag-5'>Linux</b>上的操作痕跡

    Linux Shell腳本經典案例分享

    ? 作為一名 Linux 運維工程師,會寫好的腳本不僅能提高工作效率,還能有更多的時間做自己的事。最近在網上沖浪的時候,發現大家對Shell腳本都有“心結”,要么覺得自己寫出來不好
    發表于 06-16 14:03 ?651次閱讀
    <b class='flag-5'>Linux</b> <b class='flag-5'>Shell</b><b class='flag-5'>腳本</b>經典案例分享

    Linux從零到精通:最簡單的Shell腳本入門教程

    case語句 shell變量數組 shell腳本前言 |為什么學習shell編程 Shell腳本
    的頭像 發表于 12-05 09:56 ?436次閱讀
    <b class='flag-5'>Linux</b>從零到精通:最簡單的<b class='flag-5'>Shell</b><b class='flag-5'>腳本</b>入門教程
    主站蜘蛛池模板: 久久男人视频| 国产成人免费无庶挡视频| 国产乱码精品一区二区| 黄色毛片播放| www.九色.com| 大黄一级片| 亚洲伊人精品综合在合线| 美女张开大腿让男人桶| 天天干国产| 成人亚洲网站www在线观看| 18男女很黄的视频| 久草视频资源在线| 午夜手机福利| 一区二区免费看| 日本高清色图| 天天摸天天| 国产中文字幕一区| 色综合国产| 亚洲国产tv| 视频在线观看一区| 免费黄色一级| 五月深爱婷婷| 免费网址视频在线看| 色婷婷五| 天天操天天干天天爱| xxxx性xxxx| 国产婷婷色一区二区三区| 色综合天天| 在线观看国产日本| 成人欧美一区二区三区黑人免费| 五月sese| 无夜精品久久久久久| a天堂中文在线官网| 干干干日日日| 色在线视频播放| 日本特黄特色视频| 亚洲人成电影综合网站色| 在线黄色.com| 最近2018中文字幕免费看手机| 国产成人教育视频在线观看 | 一个综合色|