Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

如何查找CobaltStrike免杀木马

什么是CS木马简单通俗来讲它的全名是Cobalt Strike 是一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等,而且可以加载到任意进程捆绑维持权限的一种免杀木马,很多网站被入侵后,都会被黑客利用WIN系统的一些系统漏洞进行提权并上传CS木马来留反向后门。是日后控制网站和服务器的权限一道便捷后门。


为什么CS木马这么受欢迎,因为他的免杀效果好,能躲避360,火绒,QQ管家等主流杀毒软件,而且体积小,可以捆绑到任意进程的EXE随之启动,从而达到创建后门方便日后进来操控。而且直接443端口反向监听上线。很多WINDOWS服务器遭受到了这个反向的免杀木马,使很多运维人员束手无策,反反复复被入侵篡改网站,导致被劫持跳转。使得运维人员很被动,动不动被入侵,搞的在领导面前很没有面子,整天被叫到办公室挨训。所以我门SINESAFE在这里整理了下查杀CS木马的一些经验和技巧,让更多的运维人员能快速处理掉安全问题。


1.首先查看下当前系统的反向连接端口都开了哪些,然后看看对应的服务项是否有被篡改的迹象,对比下修改时间。


2.cmd命令运行netstat -an看看都有哪些IP在连接哪些端口,并一一对应查看。


3.看看有无反向连接到443端口的IP和进程,如果有的话就对应进程ID查找所属程序,然后看看这个程序有无和之前的大小体积不一样。


4.服务器里如果安装了IIS,就要留意下是否站点在百度的收录里有大量的垃圾快照标题之类的。


5.查看下系统的Guest用户的所属组是否被篡改成了administrators组里。看看最近的登录日志,有无其他陌生地区的IP登录服务器。


6.如果实在搞不定查不到木马的话可以向网站安全公司寻求帮助,国内如SINE安全,鹰盾安全,启明星辰,大树安全等都是有丰富的安全经验。


7.查到对应的反向连接到443可疑的IP的时候可疑直接把此IP直接禁止访问即可。


分享:

相关推荐