孟州| 伊宁县| 安达| 井冈山| 湖北| 大同市| 静宁| 宜丰| 定日| 南康| 淄博| 昌邑| 库车| 桃源| 北宁| 拜城| 石家庄| 安徽| 屯留| 丹东| 山东| 兴宁| 潜江| 迁西| 双流| 丰顺| 湖南| 合肥| 瑞安| 芜湖县| 宕昌| 长安| 中方| 唐县| 永平| 黑山| 南丰| 宜昌| 罗源| 增城| 小河| 江华| 石龙| 宁县| 秭归| 宜州| 南海镇| 务川| 兴和| 开远| 阜新蒙古族自治县| 南康| 芷江| 花溪| 石狮| 睢宁| 兴隆| 从江| 堆龙德庆| 青龙| 吉县| 尉犁| 盐边| 西藏| 项城| 剑河| 阿荣旗| 富宁| 上林| 黄梅| 宿松| 德江| 密云| 太和| 双柏| 依安| 武冈| 民权| 陇南| 沁源| 灵璧| 礼县| 台北县| 宣城| 阳山| 怀安| 通化市| 隆德| 易门| 贺兰| 花莲| 临川| 襄城| 神农顶| 屯昌| 灵川| 葫芦岛| 开鲁| 右玉| 龙海| 黟县| 鄂伦春自治旗| 鄂伦春自治旗| 云林| 南郑| 乌拉特中旗| 平南| 让胡路| 新郑| 天镇| 岷县| 晋宁| 兰考| 张家界| 白银| 象州| 乃东| 盂县| 加格达奇| 北海| 康马| 海林| 雅江| 茶陵| 德阳| 侯马| 澄城| 东方| 无极| 漠河| 临汾| 江苏| 阿拉善左旗| 准格尔旗| 宝安| 金秀| 青浦| 双城| 云阳| 延安| 天等| 闽侯| 吉隆| 边坝| 威宁| 嘉禾| 咸丰| 澧县| 峰峰矿| 周口| 浦江| 阿克陶| 平原| 平定| 萧县| 枣庄| 武进| 下花园| 璧山| 仲巴| 西峡| 绵竹| 白云| 乐东| 新安| 惠阳| 武定| 德保| 涟源| 石林| 夏河| 武山| 盐田| 镇平| 新巴尔虎左旗| 惠州| 丹寨| 高雄县| 巴南| 南海镇| 九台| 资兴| 广平| 彝良| 贵州| 理塘| 平远| 绥江| 石家庄| 安徽| 宜城| 小金| 唐海| 石泉| 金阳| 安义| 台南市| 西山| 林西| 肇源| 淇县| 灯塔| 平利| 宜城| 鼎湖| 噶尔| 景谷| 南岳| 岷县| 鸡泽| 昌平| 依兰| 讷河| 安庆| 临颍| 昌黎| 平潭| 白云矿| 宁乡| 新沂| 伊春| 本溪市| 乐昌| 马山| 札达| 土默特右旗| 防城港| 阿城| 绥芬河| 理县| 兴县| 南木林| 兰溪| 西峰| 常德| 方城| 番禺| 汝南| 八一镇| 巨鹿| 桂平| 长治县| 常州| 高港| 紫金| 永寿| 栖霞| 红星| 周村| 满洲里| 吉安市| 彰武| 九龙坡| 磴口| 北安| 华容| 河池| 黄岩| 沈丘| 巴彦淖尔| 海林| 云南| 平南| 藁城| 威尼斯人注册
|
|
51CTO旗下网站
|
|
移动端

如何快速找出Linux服务器上不该存在恶意或后门文件

如何快速找出Linux服务器上不该存在恶意或后门文件。前段时间我在APT写作时注意到一个问题,我发现网上大多都是关于Windows恶意软件检测的文章以及教程,而关于如何寻找Linux系统上恶意软件的资料却少之又少。

作者:IT生涯来源:今日头条|2019-01-18 10:05

如何快速找出Linux服务器上不该存在恶意或后门文件。前段时间我在APT写作时注意到一个问题,我发现网上大多都是关于Windows恶意软件检测的文章以及教程,而关于如何寻找Linux系统上恶意软件的资料却少之又少。因此,这篇文章主要是向大家介绍一些有关检查Linux系统恶意软件的技巧和方法。话不多说,让我们进入正题。

校验二进制文件

有一件事需要检查确认即没有运行的二进制文件被修改。这种类型的恶意软件可以用sshd的版本来支持,以允许使用特定的密码连接到系统,甚至是一些二进制文件的修改版本,它以root用户身份运行,只需监听触发器数据包的原始套接字即可。为此,我们将以Redhat和Debian为例。

寻找不属于的二进制文件

  1. find /proc/*/exe -exec readlink {} + | xargs rpm -qf | grep “not owned” 
  2. find /proc/*/exe -exec readlink {} + | xargs dpkg -S | grep “no path” 

校验运行的二进制文件是否与包中的文件匹配

  1. find /proc/*/exe -exec readlink {} + | xargs rpm -qf | xargs rpm -V 
  2. find /proc/*/exe -exec readlink {} + | xargs dpkg -S | cut -d: -f1 | xargs dpkg -V 

校验所有包文件

另一件需要检查确认的事是即所有属于包的二进制文件都没有被修改。这个过程可能需要一段时间才能完成,但这是值得。我们可以设置一个cron jobs,以在指定时间来运行它。

校验所有包文件

  1. rpm -Va 
  2. dpkg -V 

输出结果

输出应该显示属于包的任何二进制文件,计算二进制文件的哈希值,并将其与包安装或更新时保存的值进行比较。以下是基于Redhat系统的输出。使用dpkg的Debian系统不校验其中的大部分,因此如果修改了二进制文件,只显示“5”。

  • S 文件大小不同
  • M 模式不同(包括权限和文件类型)
  • 5 摘要(以前的MD5 sum)不同
  • D 设备主/次要号不匹配
  • L readLink(2)路径不匹配
  • U 用户所有权不同
  • G 组的所有权不同
  • T mTime不同
  • P caPabilities不同

检查RAW套接字

我们经常能看到RAW socket后门。它们侦听传入的数据包并触发事件,例如最近发现的“Chaos”后门,以及一个在github上搜索raw socket后门时弹出的示例。对于这个检查,我们只会看看使用RAW套接字的过程。使用它们的常用程序并不多,因此我们可以缩小要查看的进程的范围。

使用 raw sockets listening检查二进制文件

  1. netstat -lwp or ss -lwp  
  2. lsof | grep RAW 

检查可能的注入内存

这里可能会存在各种误报的情况。RWX内存(读写执行)被许多程序使用,其中大多数是解释型语言,所以像python和java之类的,或使用任何库解析脚本的都会有这种情况,这是非常正常的。如果你找到RWX内存的许多条目并且该进程不是python或java,那你就应该仔细的查看一下了。该命令将列出RWX内存的进程id。可以看到以下列出了cron,这显然是不正常的进程。

命令查找pid

  1. grep -r “rwx” /proc/*/maps | cut -d/ -f 3|uniq -c | sort -nr 

检查修改的PAM模块

一个常见的后门是插入或替换PAM模块进行认证。 这可以允许远程访问,并且还允许攻击者从任何用户获取root权限。这个后门程序也不关心对/etc/passwd的修改,所以所有的原始密码和修改后的密码仍然有效。由于它提供的访问类型,在我看来这是一种非常危险的后门类型。你可以使用合法登录条目的正常协议,因此看起来显然像是没有任何恶意网络活动一样。

校验PAM模块

  1. find /lib64/security/ | xargs rpm -qf | grep “not owned” 
  2. find /lib64/security/ | xargs rpm -qf | grep -v “not “| xargs rpm -V 

SSH访问

保持访问权限并不需要删除二进制文件的一种非常简单的方法是,只需将ssh密钥添加到特定用户的authorized_keys文件中,并允许攻击者像普通用户那样进入ssh。这也是最难检测的方法之一,因为你需要确定ssh密钥是合法的还是恶意的,这要求用户验证只有他们的密钥在该文件中。攻击者也可以窃取用户的密钥,如果他们之前被盗用过的话。

列出所有用户的.ssh文件夹

  1. cat /etc/passwd |cut -d: -f 6 | xargs -I@ /bin/sh -c “echo @; ls -al @/.ssh/ 2>/dev/null” 

总结

有许多不同的方式可以保持对Linux服务器的权限访问。以上查找列表并不完整,但都是一些较为常见的查找后门的方法,包括Meterpreter和github上发现的其他常见后门程序。

【编辑推荐】

  1. TCP/IP客户端和服务器的角色
  2. Linux服务器开发,2小时搞定高并发网络编程
  3. 服务器多线程破解RAR文件密码-BruteForcer
  4. Linux下的Rootkit驻留技术分析
  5. 高效python脚本,6小时获取上千台MySQL数据库服务器(上)
【责任编辑:武晓燕 TEL:(010)68476606】


点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

实时UML与Rational Rose RealTime建模案例剖析

本书将实时系统、实时统一建模语言、实时系统的统一开发过程和Rational Rose RealTime建模环境有机地结合起来,以案例为基础,系统地介绍了...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
龙井茶室 果园新村街旭日里 荃步村 潘集 上水底
安后 金塘路口 五棵松 第二矿区第四虚拟村委会 珞南街道
mg电子游戏网站 澳门真人游戏 澳门庄闲娱乐 捕鱼游戏网站 澳门威尼斯人官网
澳门威尼斯人平台 e乐博官网 澳门大发888赌博平台 mg电子游戏网站 澳门大发888赌博
真人博彩 澳门威尼斯人赌城 银河网上娱乐场 mg电子游戏娱乐平台 棋牌比赛
澳门至尊网址 尖子威力扑克 澳门威尼斯人官网 澳门拉斯维加斯平台 澳门永利赌场
老虎机定位器 澳门大富豪网址 现金三公注册网址 牛牛游戏下载 现金骰宝 年度十大电子游戏 大小点游戏 玩什么游戏可以挣钱 电子游戏厅 方法奇葩赌博网 巴黎人网站 pt电子游戏哪个最会爆 澳门巴黎人游戏 澳门龙虎斗注册 澳门大富豪网站 押大小排行 真钱打牌 明升网站 十三水技巧 电子游戏下载 二十一点平台 现金网游戏开户平台 澳门百老汇游戏官网 皇博压大小 真钱捕鱼 跑马机游戏 赌博技巧 巴比伦赌场官网 现金三公 地下网址 捕鱼游戏技巧 英皇网站 手机玩游戏赚钱平台 现金网排行 pt电子游戏注册 赌博技巧 电脑玩游戏赚钱平台 海立方游戏 ag电子游戏排行 希尔顿官网 太阳网上压大小 现金赌钱游戏 现金棋牌游戏 真人网站网址 地下开户 九五至尊娱乐网址 澳门梭哈游戏官网 奇葩袖赌博网 鸿胜国际压大小 博狗扑克游戏 德州扑克游戏规则 庄闲代理 奔驰宝马老虎机下载 现金三公开户注册 免费试玩电子游戏 GT压大小 新濠天地注册 现金老虎机网站 纸牌赌博种类 乐天堂开户 澳门永利平台 电脑版捕鱼达人 玩电子游戏入门 斗牛游戏 bbin压大小 网上电子游戏网址 澳门网络下注平台 明升国际网址 明升娱乐 捕鱼达人电子游戏 mg电子游戏试玩 二十一点游戏赌场 澳门万利赌场官网 大小对比网站 现金电子游戏 电子游戏实用技术 老虎机破解器 澳门梭哈官网 澳门百老汇赌场注册 千炮捕鱼兑换现金 网上合法赌场 PT电子游戏 波克棋牌官方下载 天天棋牌 凤凰棋牌 美少女战士电子游戏 什么游戏可以赚人民币 银河国际娱乐 澳门番摊官网 澳门梭哈官网 胜博发电子游戏 电子游戏打鱼机 澳门现金网 大三巴网站 PT电子游戏 澳门银河国际娱乐