Linux 中最容易被黑客动手脚的关键目录
bigegpt 2025-05-25 10:57 2 浏览
在 Linux 系统中,黑客攻击后常会针对关键目录和文件进行修改以实现持久化、提权或隐藏恶意活动。本文介绍下黑客最常修改的目录及其手法。
一、/etc 目录
关键文件有:
/etc/passwd 和 /etc/shadow:添加特权用户或修改密码。
/etc/hosts:劫持域名解析(用于指向指向恶意 IP)。
/etc/crontab 或 /etc/cron.*:添加定时任务。
/etc/ld.so.preload:注入恶意动态链接库(劫持进程执行)。※这是 Linux 系统中动态链接器(如 ld.so 或 ld-linux.so)的配置文件,用于指定系统范围内预加载的共享库。
隐蔽手段:
使用 touch -r 将恶意文件的时间戳修改为与系统文件一致。
在 /etc/passwd 中创建 UID 0 的隐藏用户。
利用 cron 实现持久化,定期执行恶意脚本。
二、/bin、/sbin、/usr/bin 等二进制目录
关键文件有:
各种系统命令(如 ls、ps、netstat、sshd)可能被替换为恶意版本。
隐蔽手段:
Rootkit,通过劫持 ls、ps 等命令隐藏恶意进程或文件
替换 ssh、telnet 等工具以记录用户输入的密码。
预编译的恶意二进制文件覆盖原文件。
利用动态链接库劫持修改程序行为。
三、/tmp 和 /dev/shm
这两个目录存放临时文件或共享内存,权限宽松,常用于存储攻击工具或恶意脚本。
隐蔽手段:
使用随机字符串命名文件伪装成系统文件。
内存驻留在 /dev/shm 中,运行无文件恶意程序,重启后消失。
利用 wget 或 curl 下载远程脚本并执行(如挖矿木马)。
四、用户主目录(如 /home/[user])
关键文件有:
.bashrc、.profile:添加恶意命令实现登录时触发。
.ssh/authorized_keys:注入公钥以获取 SSH 无密码访问权限。
.viminfo、.bash_history:篡改或删除操作历史。
隐蔽手段:
以 . 开头的配置文件。
使用 chattr + i 防止文件被修改或删除。
通过弱口令或 SSH 密钥泄露植入后门。
五、/var 目录
关键文件有:
/var/log:删除或篡改日志文件,掩盖攻击痕迹。
/var/www/html:在Web根目录植入Webshell(如php后门)。
隐蔽手段:
删除特定日志条目。
将恶意代码嵌入图片文件中(如著名的图片马)。
六、/lib 和 /lib64
关键文件有:
系统动态链接库(如 libc.so),劫持后可实现全局代码注入。
隐蔽手段:
替换系统库文件并配合 ld.so.preload 加载恶意代码。
重定向库文件路径到恶意版本。
七、/proc 文件系统
通过 /proc/[pid]/ 操控进程内存。
隐蔽手段:
修改进程名或PID以躲避检测。
加载恶意内核模块,隐藏进程、端口等。
关键目录防御建议
1、使用 AIDE、Tripwire 或 auditd 检测关键文件完整性变化。
2、限制 /etc、/bin 等关键目录的写权限,禁用不必要的SUID/SGID。
3、将日志发送到远程服务器(避免本地篡改)。随后我会更新一篇实时备份日志的文章。
4、修补系统和应用漏洞,减少攻击面。
攻击者通常会结合多种手法掩盖行踪,防御需从监控、权限控制和纵深防护多维度入手。
相关推荐
- Linux 系统启动完整流程
-
一、启动系统流程简介如上图,简述系统启动的大概流程:1:硬件引导UEFi或BIOS初始化,运行POST开机自检2:grub2引导阶段系统固件会从MBR中读取启动加载器,然后将控制权交给启动加载器GRU...
- 超专业解析!10分钟带你搞懂Linux中直接I/O原理
-
我们先看一张图:这张图大体上描述了Linux系统上,应用程序对磁盘上的文件进行读写时,从上到下经历了哪些事情。这篇文章就以这张图为基础,介绍Linux在I/O上做了哪些事情。文件系统什么是...
- linux入门系列12--磁盘管理之分区、格式化与挂载
-
前面系列文章讲解了VI编辑器、常用命令、防火墙及网络服务管理,本篇将讲解磁盘管理相关知识。本文将会介绍大量的Linux命令,其中有一部分在“linux入门系列5--新手必会的linux命令”一文中已经...
- Linux环境下如何设置多个交叉编译工具链?
-
常见的Linux操作系统都可以通过包管理器安装交叉编译工具链,比如Ubuntu环境下使用如下命令安装gcc交叉编译器:sudoapt-getinstallgcc-arm-linux-gnueab...
- 可算是有文章,把Linux零拷贝技术讲透彻了
-
阅读本文大概需要6.0分钟。作者:卡巴拉的树链接:https://dwz.cn/BaQWWtmh本文探讨Linux中主要的几种零拷贝技术以及零拷贝技术适用的场景。为了迅速建立起零拷贝的概念...
- linux软链接的创建、删除和更新
-
大家都知道,有的时候,我们为了省下空间,都会使用链接的方式来进行引用操作。同样的,在系统级别也有。在Windows系列中,我们称其为快捷方式,在Linux中我们称其为链接(基本上都差不多了,其中可能...
- Linux 中最容易被黑客动手脚的关键目录
-
在Linux系统中,黑客攻击后常会针对关键目录和文件进行修改以实现持久化、提权或隐藏恶意活动。本文介绍下黑客最常修改的目录及其手法。一、/etc目录关键文件有:/etc/passwd和/et...
- linux之间传文件命令之Rsync傻瓜式教程
-
1.前言linux之间传文件命令用什么命令?本文介绍一种最常用,也是功能强大的文件同步和传输工具Rsync,本文提供详细傻瓜式教程。在本教程中,我们将通过实际使用案例和最常见的rsync选项的详细说...
- Linux下删除目录符号链接的方法
-
技术背景在Linux系统中,符号链接(symlink)是一种特殊的文件,它指向另一个文件或目录。有时候,我们可能需要删除符号链接,但保留其指向的目标目录。然而,在删除符号链接时可能会遇到一些问题,例如...
- 阿里云国际站注册教程:aa云服务器怎么远程链接?
-
在全球化的今天,互联网带给我们无以计数的便利,而云服务器则是其中的重要基础设施之一。这篇文章将围绕阿里云国际站注册、aa云服务器如何远程链接,以及服务器安全防护如Ddos防火墙、网站应用防护waf防火...
- Linux 5.16 网络子系统大范围升级 多个新适配器驱动加入
-
Linux在数据中心中占主导地位,因此每个内核升级周期的网络子系统变化仍然相当活跃。Linux5.16也不例外,周一最新与网络相关的更新加入了大量的驱动和新规范的支持。一个较新硬件的驱动是Realt...
- 搭建局域网文件共享服务(Samba),手机电脑都能看喜欢的影视剧
-
作为一名影视爱好者,为了方便地观看自己喜欢的影视作品,在家里搞一个专门用来存放电影的服务器是有必要的。蚁哥选则用一台Ubuntu系统的电脑做为服务器,共享影音文件,其他同一个局域网内的电脑或手机可以...
- 分享一个实用脚本—centos7系统巡检
-
概述这周闲得慌,就根据需求写了差不多20个脚本(部分是之前分享过的做了一些改进),今天主要分享一个给平时运维人员用的centos7系统巡检的脚本,或者排查问题检查系统情况也可以用..实用脚本#!/bi...
- Linux 中创建符号链接的方法
-
技术背景在Linux系统里,符号链接(SymbolicLink),也被叫做软链接(SoftLink),是一种特殊的文件,它指向另一个文件或者目录。符号链接为文件和目录的管理带来了极大的便利,比...
- 一文掌握 Linux 符号链接
-
符号链接(SymbolicLink),通常被称为“软链接”,是Linux文件系统中一种强大而灵活的工具。它允许用户创建指向文件或目录的“快捷方式”,不仅简化了文件管理,还在系统配置、软件开发和日...
- 一周热门
- 最近发表
- 标签列表
-
- mybatiscollection (79)
- mqtt服务器 (88)
- keyerror (78)
- c#map (65)
- resize函数 (64)
- xftp6 (83)
- bt搜索 (75)
- c#var (76)
- mybatis大于等于 (64)
- xcode-select (66)
- mysql授权 (74)
- 下载测试 (70)
- skip-name-resolve (63)
- linuxlink (65)
- httperror403.14-forbidden (63)
- logstashinput (65)
- hadoop端口 (65)
- vue阻止冒泡 (67)
- oracle时间戳转换日期 (64)
- jquery跨域 (68)
- php写入文件 (73)
- kafkatools (66)
- mysql导出数据库 (66)
- jquery鼠标移入移出 (71)
- 取小数点后两位的函数 (73)