linux下木马程序病原体的制作和运行

1.木马的制作：

首先我们可以在/usr/bin/目录下创建一个源程序muma，输入 你所需要指定的代码，这里为了做实验就随便写了个，你也可以换上一些挖矿程序，ddos攻击代码，为了知道木马是否运行，我们可以加入一条指令echo 'date' >> /tmp/date.txt，这样如果木马程序运行，我们就可以在tmp/date.txt下看到内容date。sleep 1 是指这段代码多长时间执行一次，这里就是1秒。

在之后为了让程序运行，要对这个程序赋予执行权限，chmod + X ！$,输入muma 直接运行，可以通过ps -aux | grep muma 查看，kill -9 可以杀掉这个进程。当然我们要将木马后台运行，输入 muma & ，这里为了方便我将那一条语句 “echo 丽丽是个傻狍子”注释了。

2.如何让木马运行，常用的是两种计划任务和开机启动进程

• 普通计划任务

crontab -e 默认以root创建一个任务，可以输入以下内容 1 2 * * *  /usr/bin/muma & 指定每天2点1分执行任务，不过管理员使用crontab -l 就发现了，

我们可以使用 crontab -u 用户 -e 指定一个用户来创建一个计划任务，这些用户有很多在/etc/passwd文件中可以炸看到，管理员不肯能用crontab -u bin -l 从头到尾来查询吧

在Linux下所有用户计划任务是在/var/spool/cron，从这里可以调取计划任务用户信息，从而查询到黑客所使用的计划用户

• 高级计划任务

我们可以输入vim/etc/cron，查看相关系统级别的定时任务命令，find /etc/cron*这是可以查看把木马追加到系统级别的脚本，可以自己添加一个脚本，也可以在原有的脚本中写，例如vim /et/cron.daily/tmwatch，在里面输入/usr/bin/muma &

Linux下有那么多cron文件管理员怎么排查呢？

find /etc/cron* -type f-exec md5sum {} \; > /tmp/date.txt                         find /etc/cron* -type f-exec md5sum {} \; > /tmp/date1.txt

md5sum可以校验文件的完整性，一些杀毒软件的快速杀毒用的也是这个原理，比较目录中文件md5值是否发生变化进行判断，找出不一样的文件

用命令diff /tmp/date.txt    /tmp/date1.txt

我更改了/etc/cron.daily/tmwatch 里面的内容，所以md5值发生了变化

3.开机启动进程

• /etc/rc.local 是开机启动脚本，可以在里面输入/bin/muma & ，当然黑客可能会忽悠你，比如说在文件中添加许多空行，再添加木马程序，然后将光标移动到开头；

管理员也可以输入 grep -v ^$ /etc/rs.local 查看文件中除空格以以外所有的文字

• 我们也可将木马放到服务器脚本中，利用开机服务器脚本来加载木马程序

vim /etc/nfs ，在nfs服务中添加/usr/bin/muma &，就这样每次开机随着nfs服务的启动，木马程序也跟着启动

• 自己写一个开机启动脚本

这里的chkconfig ：12345 是为了防止管理员登入单用户模式查找到木马，chmod +x /etc/init.d/muma赋予权限，启动/etc/init.d/muma restart，chkconfig --addmuma增加木马可以开机启动