Linux 中最容易被黑客动手脚的关键目录
ahcoder 2025-05-28 14:42 3 浏览
在 Linux 系统中,黑客攻击后常会针对关键目录和文件进行修改以实现持久化、提权或隐藏恶意活动。本文介绍下黑客最常修改的目录及其手法。
一、/etc 目录
关键文件有:
/etc/passwd 和 /etc/shadow:添加特权用户或修改密码。
/etc/hosts:劫持域名解析(用于指向指向恶意 IP)。
/etc/crontab 或 /etc/cron.*:添加定时任务。
/etc/ld.so.preload:注入恶意动态链接库(劫持进程执行)。※这是 Linux 系统中动态链接器(如 ld.so 或 ld-linux.so)的配置文件,用于指定系统范围内预加载的共享库。
隐蔽手段:
使用 touch -r 将恶意文件的时间戳修改为与系统文件一致。
在 /etc/passwd 中创建 UID 0 的隐藏用户。
利用 cron 实现持久化,定期执行恶意脚本。
二、/bin、/sbin、/usr/bin 等二进制目录
关键文件有:
各种系统命令(如 ls、ps、netstat、sshd)可能被替换为恶意版本。
隐蔽手段:
Rootkit,通过劫持 ls、ps 等命令隐藏恶意进程或文件
替换 ssh、telnet 等工具以记录用户输入的密码。
预编译的恶意二进制文件覆盖原文件。
利用动态链接库劫持修改程序行为。
三、/tmp 和 /dev/shm
这两个目录存放临时文件或共享内存,权限宽松,常用于存储攻击工具或恶意脚本。
隐蔽手段:
使用随机字符串命名文件伪装成系统文件。
内存驻留在 /dev/shm 中,运行无文件恶意程序,重启后消失。
利用 wget 或 curl 下载远程脚本并执行(如挖矿木马)。
四、用户主目录(如 /home/[user])
关键文件有:
.bashrc、.profile:添加恶意命令实现登录时触发。
.ssh/authorized_keys:注入公钥以获取 SSH 无密码访问权限。
.viminfo、.bash_history:篡改或删除操作历史。
隐蔽手段:
以 . 开头的配置文件。
使用 chattr + i 防止文件被修改或删除。
通过弱口令或 SSH 密钥泄露植入后门。
五、/var 目录
关键文件有:
/var/log:删除或篡改日志文件,掩盖攻击痕迹。
/var/www/html:在Web根目录植入Webshell(如php后门)。
隐蔽手段:
删除特定日志条目。
将恶意代码嵌入图片文件中(如著名的图片马)。
六、/lib 和 /lib64
关键文件有:
系统动态链接库(如 libc.so),劫持后可实现全局代码注入。
隐蔽手段:
替换系统库文件并配合 ld.so.preload 加载恶意代码。
重定向库文件路径到恶意版本。
七、/proc 文件系统
通过 /proc/[pid]/ 操控进程内存。
隐蔽手段:
修改进程名或PID以躲避检测。
加载恶意内核模块,隐藏进程、端口等。
关键目录防御建议
1、使用 AIDE、Tripwire 或 auditd 检测关键文件完整性变化。
2、限制 /etc、/bin 等关键目录的写权限,禁用不必要的SUID/SGID。
3、将日志发送到远程服务器(避免本地篡改)。随后我会更新一篇实时备份日志的文章。
4、修补系统和应用漏洞,减少攻击面。
攻击者通常会结合多种手法掩盖行踪,防御需从监控、权限控制和纵深防护多维度入手。
相关推荐
- Linux抓包工具tcpdump安装和使用,监视网络接口小工具大用途
-
Tcpdump工具是一个抓包工具也是一个协议分析软件。强大的功能和灵活的截取策略,使它成为Linux统下网络分析和问题排查的首选工具。tcpdump可以将网络中传送的数据包的头截获下来做分析。它支持...
- linux安装lnmp一键安装包
-
一般企业正式服环境用的lnmp.org一键安装包,下面做下简单介绍:官网:https://lnmp.org1.安装(官网上有详细的安装步骤)screen-Slnmp是为了在安装的过程中,断线的后台...
- Linux 安装Oracle11.2.0.4 (静默安装法)
-
一、环境准备1下载安装包已上传至对象存储,一共两个包#oracle11.2.0.4_1of7.zipwgethttps://oss-cn-north-1.unicloudsrv.com/sc-...
- Ubuntu入门使用之 24.04 如何安装命令工具(或软件包)
-
如果你是初学者,在Ubuntu24.04上运行命令时遇到错误,这意味着运行该特定命令所需的软件包在你的系统中不可用。无论你是刚开始探索Linux世界,还是从旧版本升级而来,你可能会想知道如何...
- Linux 安装代理 实现Windows Proxifier 功能
-
场景:linux上的应用---------->代理服务器(socket5)--------------------目标服务实现方案通过ProxyChains+Socat这2个工具来实现,具体...
- Python保姆级安装教程(CPU+GPU)
-
以下是为您整理的2024年Python保姆级安装教程(CPU+GPU详细版),涵盖Windows、macOS和Linux系统,并详细说明GPU环境的配置(如CUDA、cuDNN等...
- linux安装oracle
-
需要安装oracledataguard,所以先要安装单台oracle11g,下面是单台oracle11g的详细安装过程。1,安装环境硬件环境:2台linux虚拟机,Centos6.4,4G,4核...
- Linux安装Nginx详细教程
-
Nginx是一款高性能的开源Web服务器软件,它被广泛应用于构建高性能的网站和应用程序。本文将向您介绍如何在Linux操作系统上安装和配置Nginx服务器。一、下载nginx1.1、手动下载进入ngi...
- 选择LINUX安装平台
-
您已经选择了Linux发行版,并准备开始安装过程,但您需要确定您的硬件选项。以下是从哪里开始。译自Linux:ChooseanInstallationPlatform,作者Damon...
- 用Linux“还原”Win11,AnduinOS创始人公布1.4/1.5版本更新计划
-
IT之家5月24日消息,据外媒Neowin今日报道,AnduinOS的唯一开发者AnduinXue近日公布了“类Windows风格”Linux系统未来的版本规划。他表示,A...
- Linux lsof命令使用小结
-
推荐理由lsof(listopenfiles)是一个列出当前系统打开文件的工具。在Linux环境下,任何事物都是以文件的形式存在,通过文件不仅可以访问常规数据,还可以访问网络连接和硬件。所以,如传...
- Linux进程管理—信号、定时器使用详解
-
信号:1.信号的作用:背景:进程之间通信比较麻烦。但进程之间又必须通信,比如父子进程之间。作用:通知其他进程响应。进程之间的一种通信机制。信号:接受信号的进程马上停止,调用信号处理函数...
- Nexus 3 本地搭建与使用实战指南(适用于 Linux 与 Win11)
-
一、背景与介绍在DevOps流程中,本地镜像仓库能显著提升镜像下载速度、增强安全性并保障离线可用性。本文将手把手教你在Linux和Win11上分别部署并使用Nexus3搭建Dock...
- 字节跳动介绍使用AI优化Linux内核成果,可减少30%内存用量
-
IT之家11月23日消息,据外媒zdnet报道,字节跳动日前在LinuxPlumbersConference上介绍了通过使用AI优化Linux内核的成果,号称可以取得“显著...
- 一文带你了解 Linux 文件权限,从基础到高级
-
在Linux中,每个文件和目录都关联了一组权限,定义了不同用户对其的访问能力。权限分为三类:读取(read,r)、写入(write,w)和执行(execute,x),分别用字母r、w、x...
- 一周热门
- 最近发表
- 标签列表
-
- linux 远程 (37)
- u盘 linux (32)
- linux 登录 (34)
- linux 路径 (33)
- linux 文件命令 (35)
- linux 是什么 (35)
- linux 界面 (34)
- 查看文件 linux (35)
- linux 语言 (33)
- linux代码 (32)
- linux 查看命令 (33)
- 关闭linux (34)
- root linux (33)
- 删除文件 linux (35)
- linux 主机 (34)
- linux与 (33)
- linux 函数 (35)
- linux .ssh (35)
- cpu linux (35)
- 查看linux 系统 (32)
- linux 防火墙 (33)
- linux 手机 (32)
- linux 镜像 (34)
- linux ip地址 (34)
- linux 用户查看 (33)