色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

使用Shell腳本掩蓋Linux上的操作痕跡

jf_TEuU2tls ? 來源:FreeBuf.COM ? 2023-05-23 09:15 ? 次閱讀

使用 Shell 腳本在 Linux 服務器上能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊方法黑客可能會獲取巨大的價值,但大多數攻擊也留下蹤跡。當然,這些蹤跡也可通過 Shell 腳本等方法來隱藏。

尋找攻擊證據就從攻擊者留下的這些痕跡開始,如文件的修改日期。每一個 Linux 文件系統中的每個文件都保存著修改日期。系統管理員發現文件的最近修改時間,便提示他們系統受到攻擊,采取行動鎖定系統。然而幸運的是,修改時間不是絕對可靠的記錄,修改時間本身可以被欺騙或修改,通過編寫Shell 腳本,攻擊者可將備份和恢復修改時間的過程自動化。

操作步驟

第一步:查看和操作時間戳

多數 Linux 系統中包含一些允許我們快速查看和修改時間戳的工具,其中最具影響的當數 “Touch”,它允許我們創建新文件、更新文件/文件組最后一次被 “touched” 的時間。

touchfile

若該文件不存在, 運行上面的命令將創建一個名為 “file” 的新文件;若它已經存在,該命令將會更新修改日期為當前系統時間。我們也可以使用一個通配符,如下面的字符串。

touch*

這個命令將更新它運行的文件夾中的每個文件的時間戳。在創建和修改文件之后,有幾種方法可以查看它的詳細信息,第一個使用的為 “stat” 命令。

statfile

f4ca4b66-f8fb-11ed-90ce-dac502259ad0.jpg

運行 stat 會返回一些關于文件的信息,包含訪問、修改或更新時間戳。針對一批文件可使用 ls 參數查看各文件的時間戳,使用 “-l” 或者 “long”,該命令會列出文件詳細信息,包含輸出時間戳。

ls–l

f4ee192e-f8fb-11ed-90ce-dac502259ad0.jpg

現在就可以設置當前時間戳并查看已經設置的時間戳,也可使用 touch 來定義一個自定義時間戳,可使用 “d” 標志,用 yyyy-mm-dd 格式定義日期,緊隨其后設置時間的小時、分鐘及秒,如下:

touch -d"2001-01-01 2000"file

通過 ls 命令來確認修改信息:

ls-lfile

f4ffc818-f8fb-11ed-90ce-dac502259ad0.jpg

這種方法適用于修改個別時間戳,對于隱藏服務器上的操作痕跡,這個方法不太奏效,可以使用 shell 腳本將該過程自動化。

步驟二:組織 Shell 腳本

在開始編寫腳本之前需要考慮清楚需要執行哪些過程。為了在服務器上隱藏痕跡,攻擊者需要將文件夾的原始時間戳寫入一個文件,同時能夠在我們進行任何修改設置之后還能回到原始文件。

這兩個不同的功能會根據用戶的輸入或者參數的不同而觸發,腳本會根據這些參數執行相應的功能,同時我們需要有一種方法來處理錯誤。根據用戶的輸入將會進行三種可能的操作:

沒有參數——返回錯誤消息;

保存時間戳標記——將時間戳保存到文件中;

恢復時間戳標記——根據保存列表恢復文件的時間戳。

我們可以使用嵌套語句 if/or 語句來創建腳本,也可以根據條件將每個函數分配給自己的 “if” 語句,可選擇在文本編輯器或者 nano 中開始編寫腳本。

步驟三:開始腳本

從命令行啟動 nano 并創建一個名為 “timestamps.sh” 的腳本,命令如下:

nano timestamps.sh

然后進行下列命令:

#!/bin/bash
if[$#-eq 0];then
echo“Use asave (-s) or restore (-r) parameter.”
exit1
fi

f50b2cc6-f8fb-11ed-90ce-dac502259ad0.jpg

在 nano 中按下 Ctrl + O 保存這個文件,通過 chmod 命令將它標記為可運行的腳本。

chmod +xtimestamps.sh

然后運行腳本,測試無參數時返回錯誤信息的功能。如果腳本返回我們的 echo 語句,我們就可以繼續下一個條件了。

./timestamps.sh

f5287150-f8fb-11ed-90ce-dac502259ad0.jpg

步驟四:將時間戳寫入文件

定義 if 語句的條件,“-s” 表示執行保存功能:

if[$1="-s"] ;then
fi

當然,需要檢查計劃保存的時間戳文件是否存在,如果存在,我們可以刪除它(名為 timestamps 的文件),避免重復或錯誤的輸入,使用下面的命令:

rm-f timestamps;

然后使用 “ls” 命令列出所有文件和它的修改時間,可將其輸出到另一個程序,如 sed,以幫助我們稍后清理這個輸入。

ls–l

通常會出現下面的顯示結果:

-rw-r--r-- 1 user user 0 Jan 1 2017 file

為了保存時間戳,我們只需要年、月、日及文件名,下面命令可以清除 “Jan” 之前的信息:

ls-lfile| sed's/^.*Jan/Jan/p'

這樣顯示的就是我們程序需要的信息,只是需要修改月份格式為數字格式:

ls-lfile| sed's/^.*Jan/01/p'

將所有月份都替換為數字:

ls -l | sed -n 's/^.*Jan/01/p;s/^.*Feb/02/p;s/^.*Mar/03/p;s/^.*Apr/04/p;s/^.*May/05/p;s/^.*Jun/06/p;s/^.*Jul/07/p;s/^.*Aug/08/p;s/^.*Sep/09/p;s/^.*Oct/10/p;s/^.*Nov/11/p;s/^.*Dec/12/p;'

在一個文件夾中運行我們會看到如下圖所示的結果:

f5476e02-f8fb-11ed-90ce-dac502259ad0.jpg

然后將輸出結果通過 “>>” 發送到名為 “timestamps” 的文件中:

doecho $x| ls -l |sed -n's/^.*Jan/01/p;s/^.*Feb/02/p;s/^.*Mar/03/p;s/^.*Apr/04/p;s/^.*May/05/p;s/^.*Jun/06/p;s/^.*Jul/07/p;s/^.*Aug/08/p;s/^.*Sep/09/p;s/^.*Oct/10/p;s/^.*Nov/11/p;s/^.*Dec/12/p;'>>timestamps

至此,腳本的前兩個操作就完成了,顯示結果如下圖:

f554a784-f8fb-11ed-90ce-dac502259ad0.jpg

下面可用 “-s” 標示測試腳本,用 cat 檢查保存的信息:

./timestamps.sh–s
cattimestamps

f56aff5c-f8fb-11ed-90ce-dac502259ad0.jpg

步驟五:恢復文件的時間戳

在保存好原始時間戳后,需要恢復時間戳讓別人覺察不到文件被修改過,可使用下面命令:

if$1="-r"; thenfi

然后使用下面命令,轉發文本文件的內容,并一行一行運行:

cattimestamps |whilereadlinedodone

然后再分配一些變量讓文件數據的使用更簡單:

MONTH=$(echo$line| cut -f1 -d );
DAY=$(echo$line| cut -f2 -d );
FILENAME=$(echo$line| cut -f4 -d );
YEAR=$(echo$line| cut -f3 -d )

雖然這四個變量在保存的時間戳文件中是一致的,但是如果時間戳是在過去一年中發生的,它只會顯示時間而不是年份。如果需要確定當前年份,我們可以分配為寫腳本的年份,也可以從系統中返回年份,使用 cal 命令可以查看日歷。

f5958146-f8fb-11ed-90ce-dac502259ad0.jpg

然后檢索第一行,只讓顯示想要得年份信息:

CURRENTYEAR=$(cal | head -1| cut -f6- -d | sed's/ //g')

f5b15a60-f8fb-11ed-90ce-dac502259ad0.jpg

定義了所有變量之后可以使用 “if else” 語句,根據格式化的日期更新文件的時間戳,使用 touch 語法:

touch -d"2001-01-01 2000"file

由于每個時間都包含冒號,因此可使用下面的 “ifelse” 語句完成操作,整體操作如下圖所示:

if[$YEAR== *:* ];then
touch -d$CURRENTYEAR-$MONTH-$DAY$YEAR:00$FILENAME;
else
touch -d""$YEAR-$MONTH-$DAY""$FILENAME;
fi

f5c17058-f8fb-11ed-90ce-dac502259ad0.jpg

步驟六:使用腳本

使用的命令主要有以下幾個:

./timestamps.sh–s  保存文件時間戳
touch -d “2050-10-1210:00:00″ *  修改目錄下的所有文件時間戳
ls–a 確認修改的文件
./timestamps.sh–r  恢復文件原始時間戳

最后可以再次運行 “ls -a” 來查看文件的時間戳是否和之前備份的時間戳一致,整個的腳本就執行完成了,如下圖所示:

f5d38a68-f8fb-11ed-90ce-dac502259ad0.jpg

總結

該腳本只是用來清除攻擊服務器之后遺留的一些痕跡。為了隱藏痕跡,黑客在針對服務器實施具體的攻擊時,必須仔細考慮使用的每一個方法,以及入侵服務器之后如何隱藏自己的痕跡。

通過上面的介紹我們了解到,時間戳也是 “會撒謊的”,因此系統管理員必須意識到他們的許多日志和保護措施是可以被操縱的,雖然看起來好像沒有異常。






審核編輯:劉清

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • Linux系統
    +關注

    關注

    4

    文章

    593

    瀏覽量

    27392
  • Shell
    +關注

    關注

    1

    文章

    365

    瀏覽量

    23357

原文標題:玩得溜!使用Shell腳本掩蓋Linux上的操作痕跡

文章出處:【微信號:浩道linux,微信公眾號:浩道linux】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    Linux中執行shell腳本的兩種方式

    一條的執行很是不大方便,這種太多命令的才能完成的,一般都是編寫一個shell腳本來進行操作,而不用一步一步的進行。有些時候在Linux中的很多對應的應用程序目錄下有很多.sh結尾的
    發表于 11-18 16:49 ?1826次閱讀
    <b class='flag-5'>Linux</b>中執行<b class='flag-5'>shell</b><b class='flag-5'>腳本</b>的兩種方式

    一步一步了解并搞懂shell腳本

    Shell腳本并不能作為正式的編程語言,因為它是在Linuxshell中運行的,所以稱為shell腳本
    發表于 12-06 09:03 ?517次閱讀

    Linux Shell腳本入門到實戰詳解

    Linux Shell腳本入門到實戰詳解
    發表于 02-17 15:03 ?636次閱讀

    嵌入式Linux入門(五、Shell腳本編程:認識Shell腳本

    大家好,是矜辰所致,嵌入式 Linux入 門第五課,本課開始簡單學習一下 Shell 腳本編程。
    的頭像 發表于 07-13 16:10 ?1616次閱讀
    嵌入式<b class='flag-5'>Linux</b>入門(五、<b class='flag-5'>Shell</b><b class='flag-5'>腳本</b>編程<b class='flag-5'>上</b>:認識<b class='flag-5'>Shell</b><b class='flag-5'>腳本</b>)

    Linux shell腳本分享

    今天浩道跟大家分享幾個Linux運維中常用到的shell腳本
    發表于 07-18 09:53 ?556次閱讀
    <b class='flag-5'>Linux</b> <b class='flag-5'>shell</b><b class='flag-5'>腳本</b>分享

    使用 Shell 腳本掩蓋 Linux 服務器操作痕跡的步驟解析

    使用 Shell 腳本Linux 服務器能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊方法黑客可能會獲取巨大的價值,但大多數攻擊也留下蹤跡。當然,這些蹤跡也可通過
    的頭像 發表于 02-09 15:23 ?3207次閱讀

    如何利用Shell腳本掩藏Linux服務器使用痕跡

    使用 Shell 腳本Linux 服務器能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊方法黑客可能會獲取巨大的價值,但大多數攻擊也留下蹤跡。當然,這些蹤跡也可通過
    的頭像 發表于 02-13 13:21 ?3316次閱讀

    如何創建和執行一個簡單的Linux shell腳本

     如果您愿意要嘗試更長的shell腳本,請將下面的shell腳本(并附加為PDF和ODT文件)復制到文本編輯器中,保存,使其可執行并運行。當您了解更多
    的頭像 發表于 11-06 17:28 ?1.3w次閱讀

    Linuxshell腳本執的4種方式

    Linuxshell腳本的執行通常有4種方式,分別為工作目錄執行,絕對路徑執行,sh執行,shell環境執行。
    發表于 05-23 09:28 ?916次閱讀
    <b class='flag-5'>Linux</b>中<b class='flag-5'>shell</b><b class='flag-5'>腳本</b>執的4種方式

    Linux系統命令及shell腳本實踐指南

    Linux系統命令及shell腳本實踐指南資料下載。
    發表于 06-01 14:47 ?28次下載

    Linux開發_Makefile規則與Shell腳本語言

    介紹Linux下Makefile編程知識點,Shell腳本知識點。
    的頭像 發表于 09-17 15:40 ?1274次閱讀

    Linux命令行與shell腳本編寫

    Linux命令行與shell腳本編寫
    發表于 01-11 16:50 ?4次下載

    通過Shell腳本掩蓋Linux系統操作痕跡

    使用 Shell 腳本Linux 服務器能夠控制、毀壞或者獲取任何東西,通過一些巧妙的攻擊方法黑客可能會獲取巨大的價值,但大多數攻擊也留下蹤跡。
    的頭像 發表于 04-03 10:43 ?529次閱讀

    Linux Shell腳本經典案例分享

    ? 作為一名 Linux 運維工程師,會寫好的腳本不僅能提高工作效率,還能有更多的時間做自己的事。最近在網上沖浪的時候,發現大家對Shell腳本都有“心結”,要么覺得自己寫出來不好
    發表于 06-16 14:03 ?649次閱讀
    <b class='flag-5'>Linux</b> <b class='flag-5'>Shell</b><b class='flag-5'>腳本</b>經典案例分享

    Linux從零到精通:最簡單的Shell腳本入門教程

    在數字化時代的浪潮中,Linux操作系統憑借其高效、穩定、開源的特性,成為了無數開發者和系統管理員的首選。 而在Linux的龐大生態系統中,Shell編程無疑是連接用戶與系統內核的橋梁
    的頭像 發表于 12-05 09:56 ?394次閱讀
    <b class='flag-5'>Linux</b>從零到精通:最簡單的<b class='flag-5'>Shell</b><b class='flag-5'>腳本</b>入門教程
    主站蜘蛛池模板: 国产成人精品午夜福麻豆报告| 国产精品青青在线麻豆| 国内精品久久| 1a级毛片免费观看| 青柠视频在线观看高清HD| 理论片午午伦夜理片2021| 精品夜夜澡人妻无码AV| 国产一区在线观看免费| 国产无线乱码一区二三区| 国产 在线 亚洲 欧美 动漫| 岛国片免费看| 国产成人免费观看在线视频| 成年人视频在线免费| 成人免费网址在线| 成人在线高清不卡免费视频| 成人小视频在线免费观看| 北原多香子qvod| 调教女M屁股撅虐调教| 国产69精品久久久久观看软件| 草久热的视频在线观看| 超h高h肉h文教室生理课| 耽美肉文 高h失禁| 国产精品第十页| 国产亚洲精品在浅麻豆| 狠狠色综合7777久夜色撩人| 九九电影伦理片| 久久精品天天爽夜夜爽| 美女叉腿掰阴大胆艺术照| 年轻老师毛茸茸自由性| 人人射人人爱| 推倒美女总裁啪啪| 亚洲精品无码国产爽快A片百度 | yellow视频免费观看| 成人在免费观看视频国产| 国产精品爽爽久久久久久无码| 黑人强伦姧人妻日韩那庞大的 | 超碰97免费人妻| 国产精品人妻无码免费A片导航| 国产中文在线观看| 久久亚洲精品成人| 青青草国产偷拍在线av|