收藏
下载资源

如何快速找出Linux服务器上不该存在恶意或后门文件

上传人:m**** 文档编号:65470072 上传时间:2019-01-01 格式:DOCX 页数:5 大小:502.03KB
返回 下载 相关 举报
如何快速找出Linux服务器上不该存在恶意或后门文件_第1页
第1页 / 共5页
如何快速找出Linux服务器上不该存在恶意或后门文件_第2页
第2页 / 共5页
如何快速找出Linux服务器上不该存在恶意或后门文件_第3页
第3页 / 共5页
如何快速找出Linux服务器上不该存在恶意或后门文件_第4页
第4页 / 共5页
如何快速找出Linux服务器上不该存在恶意或后门文件_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《如何快速找出Linux服务器上不该存在恶意或后门文件》由会员分享,可在线阅读,更多相关《如何快速找出Linux服务器上不该存在恶意或后门文件(5页珍藏版)》请在金锄头文库上搜索。

1、如何快速找出Linux服务器上不该存在恶意或后门文件如何快速找出Linux服务器上不该存在恶意或后门文件。前段时间我在APT写作时注意到一个问题,我发现网上大多都是关于Windows恶意软件检测的文章以及教程,而关于如何寻找Linux系统上恶意软件的资料却少之又少。因此,这篇文章主要是向大家介绍一些有关检查Linux系统恶意软件的技巧和方法。话不多说,让我们进入正题。校验二进制文件有一件事需要检查确认即没有运行的二进制文件被修改。这种类型的恶意软件可以用sshd的版本来支持,以允许使用特定的密码连接到系统,甚至是一些二进制文件的修改版本,它以root用户身份运行,只需监听触发器数据包的原始套接

2、字即可。为此,我们将以Redhat和Debian为例。寻找不属于的二进制文件 find /proc/*/exe -exec readlink + | xargs rpm -qf | grep “not owned” find /proc/*/exe -exec readlink + | xargs dpkg -S | grep “no path”校验运行的二进制文件是否与包中的文件匹配 find /proc/*/exe -exec readlink + | xargs rpm -qf | xargs rpm -V find /proc/*/exe -exec readlink + | xarg

3、s dpkg -S | cut -d: -f1 | xargs dpkg -V校验所有包文件另一件需要检查确认的事是即所有属于包的二进制文件都没有被修改。这个过程可能需要一段时间才能完成,但这是值得。我们可以设置一个cron jobs,以在指定时间来运行它。http:/校验所有包文件 rpm -Va dpkg -V输出结果输出应该显示属于包的任何二进制文件,计算二进制文件的哈希值,并将其与包安装或更新时保存的值进行比较。以下是基于Redhat系统的输出。使用dpkg的Debian系统不校验其中的大部分,因此如果修改了二进制文件,只显示“5”。 S 文件大小不同 M 模式不同(包括权限和文件类型

4、) 5 摘要(以前的MD5 sum)不同 D 设备主/次要号不匹配 L readLink(2)路径不匹配 U 用户所有权不同 G 组的所有权不同 T mTime不同 P caPabilities不同检查RAW套接字我们经常能看到RAW socket后门。它们侦听传入的数据包并触发事件,例如最近发现的“Chaos”后门,以及一个在github上搜索raw socket后门时弹出的示例。对于这个检查,我们只会看看使用RAW套接字的过程。使用它们的常用程序并不多,因此我们可以缩小要查看的进程的范围。使用 raw sockets listening检查二进制文件 netstat -lwp or ss

5、-lwp lsof | grep RAW检查可能的注入内存这里可能会存在各种误报的情况。RWX内存(读写执行)被许多程序使用,其中大多数是解释型语言,所以像python和java之类的,或使用任何库解析脚本的都会有这种情况,这是非常正常的。如果你找到RWX内存的许多条目并且该进程不是python或java,那你就应该仔细的查看一下了。该命令将列出RWX内存的进程id。可以看到以下列出了cron,这显然是不正常的进程。命令查找pid grep -r “rwx” /proc/*/maps | cut -d/ -f 3|uniq -c | sort -nr检查修改的PAM模块一个常见的后门是插入或替

6、换PAM模块进行认证。 这可以允许远程访问,并且还允许*者从任何用户获取root权限。这个后门程序也不关心对/etc/passwd的修改,所以所有的原始密码和修改后的密码仍然有效。由于它提供的访问类型,在我看来这是一种非常危险的后门类型。你可以使用合法登录条目的正常协议,因此看起来显然像是没有任何恶意网络活动一样。校验PAM模块 http:/ find /lib64/security/ | xargs rpm -qf | grep “not owned” find /lib64/security/ | xargs rpm -qf | grep -v “not “| xargs rpm -VSS

7、H访问保持访问权限并不需要删除二进制文件的一种非常简单的方法是,只需将ssh密钥添加到特定用户的authorized_keys文件中,并允许*者像普通用户那样进入ssh。这也是最难检测的方法之一,因为你需要确定ssh密钥是合法的还是恶意的,这要求用户验证只有他们的密钥在该文件中。*者也可以窃取用户的密钥,如果他们之前被盗用过的话。列出所有用户的.ssh文件夹 cat /etc/passwd |cut -d: -f 6 | xargs -I /bin/sh -c “echo ; ls -al /.ssh/ 2/dev/null”总结有许多不同的方式可以保持对Linux服务器的权限访问。以上查找列表并不完整,但都是一些较为常见的查找后门的方法,包括Meterpreter和github上发现的其他常见后门程序。http:/f-1.cc

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > linux/Unix相关

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号