这是一个创建于 50 天前的主题,其中的信息可能已经有所发展或是发生改变。
在本机上隐藏,比如用 netstat/ss 等命令看不到,
但从外面可以正常访问 ,
有什么奇技淫巧吗?
欢迎脑洞大开
但从外面可以正常访问 ,
有什么奇技淫巧吗?
欢迎脑洞大开
13 条回复 • 2024-03-12 15:07:56 +08:00
 |
1
dbg 50 天前 via Android
Linux rookit
|
 |
2
fredcc 50 天前 via Android
木马的基本功能,一般是替换系统的 netstat 和 ss 文件实现
|
 |
3
ho121 50 天前 via Android
iptables
|
 |
4
pagxir 50 天前 via Android
用 raw socket 就看不到
|
 |
5
idontnowhat2say 50 天前
ebpf
|
 |
6
PTLin 50 天前
对于 ss 这种用 Netlink 的 epbf lsm 到 socket_create 应该就行
|
 |
7
0x20H 49 天前
我记得见到过一次用 iptables 规则写的敲门技巧,大概就是默认情况下某个端口是关闭的,通过 ping X 次服务器触发 iptables 规则开放这个端口,再 ping X 下触发规则关闭端口。这是对外的,扫描器规则一般无法触发。
对内 netstat/ss 这种可以替换,或者 alias 写个同名函数,过滤掉要隐藏的端口,但都不保险。 持久化的话没必要让木马一直活动吧,或者没必要用这种需要网络连接的方式吧,其他方法呗 |
 |
8
s82kd92l 49 天前
黑产?
|
 |
9
dode 48 天前
命名空间,docker 主机模式网络
|
 |
10
lrh3321 48 天前
raw socket
DPDK 或者弄个独立的网络命名空间/虚拟机 |
 |
11
bfdh 48 天前
rootkit +1
|
 |
12
skyrim61 47 天前
类似于上面的这些技巧, 哪里可以学习的到?
|
 |
13
tomychen 46 天前
strace -o netstat.log netstat -antp
会发现 netstat 会去/proc/net/tcp(6) 读当时网络连接 至于隐藏就是 hook 了,至于 ring3 还是 ring0 ``` open("/proc/net/tcp", O_RDONLY) = 3 read(3, " sl local_address rem_address "..., 4096) = 600 write(1, "tcp 0 0 0.0.0.0:22 "..., 101) = 101 write(1, "tcp 0 0 127.0.0.1:25"..., 101) = 101 write(1, "tcp 0 196 192.168.10.6"..., 101) = 101 read(3, "", 4096) = 0 close(3) = 0 ``` read 进来,write 输出 hook 任保一个 syscall 都可以达到屏蔽输出的需求 |
Select Language