linux下模拟一个木马程序运行过程

预备知识：

将一个程序放入到后台，悄悄的执行

./xxx.sh &

进程：

用户进程：由用户来管理

系统进程：由系统内核自行管理

系统中的每个进程，都有一个位置的ID，这就是pid，而且每次启动进程以后，PID都不相同

进程相关的命令

jobs

作用：查看当前运行在后台的进程有哪些

信息

第一列：进程编号

第二列：进程状态

第三列：进程是如何发起的

fg   进程编号    把进程从后台调到前台执行

kill %进程编号  杀死进程

ps aux   打印系统所有进程

num=`ps aux | grep myser |wc -l`   #执行grep myser本身就会创建一个进程，如果有myser这个进程则num为2,如果没有myser这个进程,则num为1,

kill作用杀死进程

格式：kill 信号级别 进程PID

信号级别

-9：斩立决。立刻杀死进程

-15：死缓。等待现有的客户端处理完毕之后，立刻杀死进程

【等待期间新的用户请求无法被接入】

木马最终效果

让程序自动运行，而且是开机自动运行起来

程序还可以自我保护

防止程序文件被删除

实现步骤

1. 开发一个伪木马myser,位置：可以随便放，这里为了方便放在/下，实际使用时是放在非常隐蔽的目录下

#!/bin/bash

while true

do

touch /home/`date +%T`.txt    #在/home/下每隔一秒就创建一个文件，文件名为 创建时间.txt

sleep 1

done

创建完后赋权限        chmod +x myser

试运行      ./myser      ctrl+c停止  cd到/home/目录下查看

2. 将这个木马设置为开机自动启动

在/etc/rc.local中写入

/bin/bash /myser &

3. 开发一个检查木马进程是否正在运行的程序,check.sh ,位置：可以随便放，这里为了方便放在/下，实际使用时是放在非常隐蔽的目录下

#!/bin/bash

num=`ps aux | grep myser |wc -l`   #执行grep myser本身就会创建一个进程，如果有myser这个进程则num为2,如果没有myser这个进程,则num为1(),

if [ $num -eq 1 ];then     #num为1则表示木马进程已被杀死，需重新启动木马

/bin/bash /myser &   # &表示后台启动，不再屏幕上出现信息

fi

创建完后赋权限        chmod +x check.sh

4.将check.sh写进或放进计划任务中

思路1:

写进计划任务中  但这样很容易用crontab -l 查看发现

crontab -e     #创建计划任务

每分钟执行一次

*  *  *  *  *    # 分 时 日 月 周

crontab -l    #查看当前创建了哪些计划任务

思路2:

将check.sh放在/etc/cron.d/cron.hourly

这个目录下的程序会每隔1h自动执行一次

思路3：

执行check.sh的计划任务写在/etc/crontab   #这个目录下的crontab中的任务计划不会出现在crontab -l中

*/5 * * * * /bin/bash /etc/check.sh

思路4:

在/etc/init.d下随便找个程序，将执行check的命令写进去

5.重启验证效果---------------reboot关机

开机后在/home/下发现一堆文件

脚本正在运行

杀死进程

过一分钟后再次查看，发现进程已重启，注意看PID是不一样的，表示进程是重新启动过的

自此完成