rootkit从深邃的层面来讲即1种具有自我匿伏性的后门轨范,它每每被入侵者作为1种入侵工具。颠末rootkit,入侵者也许偷偷管制被入侵的电脑,是以陵犯弘大。chkrootkit是1个Linux零碎下的查找检测rootkit后门的工具。
本次裂痕泛起在1个执行的地方不有加 引号珍爱 导致也许执行轨范
| 12三 | SLAPPER_FILES="${ROOTDIR}tmp/.bugtraq ${ROOTDIR}tmp/.bugtraq.c"SLAPPER_FILES="$SLAPPER_FILES ${ROOTDIR}tmp/.unlock ${ROOTDIR}tmp/httpd \${ROOTDIR}tmp/update ${ROOTDIR}tmp/.cinik ${ROOTDIR}tmp/.b" |
定义了 执行检测的文件
Default| 12三456 | for i in ${SLAPPER_FILES}; doif [ -f ${i} ]; thenfile_port=$file_port $iSTATUS=1fidone |
在检测这些轨范的端口的时分??file_port=$file_port $i??缺少引号的珍爱,导致运行了这些轨范
以是操纵的行动等于用你的后门可能提权轨范来顶替这些轨范
编译好 放在/tmp
接下去执行chkrootkit
泛起 #??证实执行了咱们的轨范,前去/tmp看看
OK 腐朽了这个属于1个被动提权把,想想仍是挺存心思的!
影响版本 小于 chkrootkit-0.4九??在最新版的 chkrootkit-0.50 已经修复
【via@九0sec】
