Linux后门漏洞排查溯源之反向木马连接

           Linux的后门排查,主要有三个方面,第一个是文件排查,第二个是进程排查,第三个是Linux日志的排查。最后我们还有一个是工具的排查,首先我们来到文件排查,这里是一开始我们是要看一下,开机启动到底有没有一些可疑的启动项,我们的命令函是这一段 ls我可以做个演示,打开虚拟机先继续说一下,然后接着来就是查看历史的命令,记录文件,就是用cat查看的,然后查看历史记录的命令是 history,然后就可以查看历史的那些命令,如果被攻击过的的服务器的话,我们先不要乱操作,然后直接采用这条命令的话可以查看到黑客到底是到底是执行了哪些命令。

还有下面一个就是特殊权限的文件查找,查找权限,777是代表最高权限,就是最高的权限就是777。然后我们利用这条命令可以查找出具有最高权限的一些文件,首先做一下演示,做这个看一下有没有可疑的开机启动项,这些就是系统的开机启动项,我们可以根据自己的服务器的情况来看一下有没有可疑的程序。

然后接着是查看历史命令。历史命令,这些是我的历史命令。历史我之前操作过什么,用过哪些命令,它都会记录到这里。然后用NC来侦听哪个端口这个是我用netstat -an 来侦听一个7001的端口,然后再用一个木马反弹过来的命令,就直接侦听到了。

然后接着我们来查一下最后TC权限的是最高权限的文件,看这些文件有没有可疑的。这里我这台机器没有这么高权限的文件,然后再接下来是进程排查,进程排查也是一个很重要的命令,就是nestat -an这个命令是跟网络连接状态有关的,它是跟windows上的一个netstat -an的规定一样,也是一样这个道理。它也是查看网络连接的命令,也是分析可疑的端口,可疑的IP和可疑的PID及进程。

然后我们利用这条命令,可以查看。可以查看出来没有活动,连接服务器也没有已经建立的,因为我现在是在酒店这里没有网络,所以它就没有连接。如果我上网的话,它是有连接状态的,他谁跟谁连,然后连接了哪个端口,因为我这里没有网络,它就显示了没有连接状态,活动网络连接没有。

下面是空白。现在我建立一个连接来看一下,先把它提升到管理员的权限,然后NC监听一个端口,这个7001这个端口,然后为什么添加这个端口,因为我在这台win7上面已经装了一个木马,然后是连接7001端口的,我翻一个木马进去,然后让它连接,看我们能不能检测到它连接了。这里是已经反弹到他的端口了。

分享: