• 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 频道栏目
    神奇公式秒杀全国11选5 > 安全 > 系统安全 > 正文

    山西十一选五任五遗漏:如何快速找出Linux服务器上不该存在恶意或后门文件

    2018-05-22 16:36:53           
    收藏   我要投稿

    神奇公式秒杀全国11选5 www.2zfa.com 如何快速找出Linux服务器上不该存在恶意或后门文件。前段时间我在APT写作时注意到一个问题,我发现网上大多都是关于Windows恶意软件检测的文章以及教程,而关于如何寻找Linux系统上恶意软件的资料却少之又少。因此,这篇文章主要是向大家介绍一些有关检查Linux系统恶意软件的技巧和方法?;安欢嗨?,让我们进入正题。

    校验二进制文件

    有一件事需要检查确认即没有运行的二进制文件被修改。这种类型的恶意软件可以用sshd的版本来支持,以允许使用特定的密码连接到系统,甚至是一些二进制文件的修改版本,它以root用户身份运行,只需监听触发器数据包的原始套接字即可。为此,我们将以Redhat和Debian为例。

    寻找不属于的二进制文件

    find /proc/*/exe -exec readlink {} + | xargs rpm -qf | grep “not owned”

    find /proc/*/exe -exec readlink {} + | xargs dpkg -S | grep “no path”

    校验运行的二进制文件是否与包中的文件匹配

    find /proc/*/exe -exec readlink {} + | xargs rpm -qf | xargs rpm -V

    find /proc/*/exe -exec readlink {} + | xargs dpkg -S | cut -d: -f1 | xargs dpkg -V

    \

    校验所有包文件

    另一件需要检查确认的事是即所有属于包的二进制文件都没有被修改。这个过程可能需要一段时间才能完成,但这是值得。我们可以设置一个cron jobs,以在指定时间来运行它。

    校验所有包文件

    rpm -Va

    dpkg -V

    \

    输出结果

    输出应该显示属于包的任何二进制文件,计算二进制文件的哈希值,并将其与包安装或更新时保存的值进行比较。以下是基于Redhat系统的输出。使用dpkg的Debian系统不校验其中的大部分,因此如果修改了二进制文件,只显示“5”。

    S 文件大小不同

    M 模式不同(包括权限和文件类型)

    5 摘要(以前的MD5 sum)不同

    D 设备主/次要号不匹配

    L readLink(2)路径不匹配

    U 用户所有权不同

    G 组的所有权不同

    T mTime不同

    P caPabilities不同

    检查RAW套接字

    我们经常能看到RAW socket后门。它们侦听传入的数据包并触发事件,例如最近发现的“Chaos”后门,以及一个在github上搜索raw socket后门时弹出的示例。对于这个检查,我们只会看看使用RAW套接字的过程。使用它们的常用程序并不多,因此我们可以缩小要查看的进程的范围。

    使用 raw sockets listening检查二进制文件

    netstat -lwp or ss -lwp

    lsof | grep RAW

    \

    检查可能的注入内存

    这里可能会存在各种误报的情况。RWX内存(读写执行)被许多程序使用,其中大多数是解释型语言,所以像python和java之类的,或使用任何库解析脚本的都会有这种情况,这是非常正常的。如果你找到RWX内存的许多条目并且该进程不是python或java,那你就应该仔细的查看一下了。该命令将列出RWX内存的进程id??梢钥吹揭韵铝谐隽薱ron,这显然是不正常的进程。

    命令查找pid

    grep -r “rwx” /proc/*/maps | cut -d/ -f 3|uniq -c | sort -nr

    \

    检查修改的PAM???/p>

    一个常见的后门是插入或替换PAM??榻腥现?。 这可以允许远程访问,并且还允许攻击者从任何用户获取root权限。这个后门程序也不关心对/etc/passwd的修改,所以所有的原始密码和修改后的密码仍然有效。由于它提供的访问类型,在我看来这是一种非常危险的后门类型。你可以使用合法登录条目的正常协议,因此看起来显然像是没有任何恶意网络活动一样。

    校验PAM???/p>

    find /lib64/security/ | xargs rpm -qf | grep “not owned”

    find /lib64/security/ | xargs rpm -qf | grep -v “not “| xargs rpm -V

    \
    \
    \

    SSH访问

    保持访问权限并不需要删除二进制文件的一种非常简单的方法是,只需将ssh密钥添加到特定用户的authorized_keys文件中,并允许攻击者像普通用户那样进入ssh。这也是最难检测的方法之一,因为你需要确定ssh密钥是合法的还是恶意的,这要求用户验证只有他们的密钥在该文件中。攻击者也可以窃取用户的密钥,如果他们之前被盗用过的话。

    列出所有用户的.ssh文件夹

    cat /etc/passwd |cut -d: -f 6 | xargs [email protected] /bin/sh -c “echo @; ls -al @/.ssh/ 2>/dev/null”

    \

    总结

    有许多不同的方式可以保持对Linux服务器的权限访问。以上查找列表并不完整,但都是一些较为常见的查找后门的方法,包括Meterpreter和github上发现的其他常见后门程序。

    上一篇:Linux 服务器惊现比特币勒索事件,做好四点可免遭损失
    下一篇:最后一页
    相关文章
    图文推荐

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 福利彩票35选7走大势 年第王中王一肖中特论坛 多乐彩票骗局八十亿 辰龙3d三张牌 pt电子游戏公司 北京单场9188预测 爱波网足球指数 香港六合彩内部一码 宁夏11选5实时图 辽宁11选5开奖结果走势 湖北十一选五开奖结果走势图 新疆25选7走势图 河南快赢481网上投注 湖南快乐十分钟app 三肖中特期期准一肖中特期期准