偶然习得一篇关于Linux下HIDS的绕过方式,遂来学习一下。刨除大哥的各种猜想与正确失败的验证,只把结论显示出来:
1.日志类,登陆/ssh爆破:/var/log/securt
通过不断尝试发现,发现安全设备是通过/var/log/securt这个文件来实现报警的。只要写成执行文件,后台运行。就可以绕过了日志了。Shell脚本如下命令:写成sh,后台执行
While:
do
sed –i ‘/ip /d’ /var/log/securt
done
结论:因为安全设备因为可用性或者运行负荷不能完美实时地抓取日志,只要你改的比他读的快,安全设备便追不上你,各类日志都是同理,iptales,ssh,甚至一些中间件也是同理。
2.history日志
ssh root@localhost –T /bin/bash 发现真的成功了,执行命令不记录。
结论:在no tty模式下执行命令是不记录的
3.反弹shell报警
新上传的bash可以绕过history记录
https://mp.weixin.qq.com/s?__biz=MzU1NTkzMTYxOQ==&mid=2247485564&idx=1&sn=632c1126a1cae85922f59e77b3e2b8b5