几个在Linux下的后门和日志工具

几个在Linux下的后门和日志工具
　攻入Linux系统后，很多入侵者往往就开始得意忘形了。这其中还有一个原因，就是技术性也要求更高了。下面，我们来看看一些常用的经典工具。
　　1、从这里延伸：后门和连接工具
　　（1）Httptunnel
　　Tunnel的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上，它是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点，就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。
　　HTTPTunnel包括两个程序：htc和hts，其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是192.168.10.231，本地机器IP是192.168.10.226，因为防火墙的原因，本地机器无法连接到FTP上。怎么办？现在就可以考虑使用HTTPTunnel了。过程如下：
　　第一步：在本地机器上启动HTTPTunnel客户端。用Netstat看一下本机现在开放的端口，会发现8888端口已在侦听。
　　第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令“hts -f localhost:21 80”，这个命令的意思是说，把本机的21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。
　　第三步：在本地机器上用FTP连接本机的8888端口，会发现已经连上对方的机器了。那么，为什么人家看到的是127.0.0.1，而不是192.168.10.231呢？因为我们现在是连接本机的8888端口，防火墙肯定不会有反应，如果没往外发包，局域网的防火墙肯定就不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。
　　需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在也不会出现什么问题，重定向的隧道服务将畅通无阻！