1
dbg 261 天前 via Android
Linux rookit
|
2
fredcc 261 天前 via Android
木马的基本功能,一般是替换系统的 netstat 和 ss 文件实现
|
3
ho121 261 天前 via Android
iptables
|
4
pagxir 261 天前 via Android
用 raw socket 就看不到
|
5
idontnowhat2say 261 天前
ebpf
|
6
PTLin 261 天前
对于 ss 这种用 Netlink 的 epbf lsm 到 socket_create 应该就行
|
7
0x20H 260 天前
我记得见到过一次用 iptables 规则写的敲门技巧,大概就是默认情况下某个端口是关闭的,通过 ping X 次服务器触发 iptables 规则开放这个端口,再 ping X 下触发规则关闭端口。这是对外的,扫描器规则一般无法触发。
对内 netstat/ss 这种可以替换,或者 alias 写个同名函数,过滤掉要隐藏的端口,但都不保险。 持久化的话没必要让木马一直活动吧,或者没必要用这种需要网络连接的方式吧,其他方法呗 |
8
s82kd92l 260 天前
黑产?
|
9
dode 260 天前
命名空间,docker 主机模式网络
|
10
lrh3321 260 天前
raw socket
DPDK 或者弄个独立的网络命名空间/虚拟机 |
11
bfdh 259 天前
rootkit +1
|
12
skyrim61 259 天前
类似于上面的这些技巧, 哪里可以学习的到?
|
13
tomychen 258 天前
strace -o netstat.log netstat -antp
会发现 netstat 会去/proc/net/tcp(6) 读当时网络连接 至于隐藏就是 hook 了,至于 ring3 还是 ring0 ``` open("/proc/net/tcp", O_RDONLY) = 3 read(3, " sl local_address rem_address "..., 4096) = 600 write(1, "tcp 0 0 0.0.0.0:22 "..., 101) = 101 write(1, "tcp 0 0 127.0.0.1:25"..., 101) = 101 write(1, "tcp 0 196 192.168.10.6"..., 101) = 101 read(3, "", 4096) = 0 close(3) = 0 ``` read 进来,write 输出 hook 任保一个 syscall 都可以达到屏蔽输出的需求 |