Linux下手动查杀木马与Rootkit的实战指南

最新推荐文章于 2024-08-20 17:30:45 发布
最新推荐文章于 2024-08-20 17:30:45 发布
阅读量616 收藏 3
点赞数 4
分类专栏: 网络安全 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43822401/article/details/139794361
版权

模拟木马程序的自动运行

黑客可以通过多种方式让木马程序自动运行,包括:

  • 计划任务 (crontab):通过设置定时任务来周期性地执行木马脚本。
  • 开机启动:在系统的启动脚本中添加木马程序,确保系统启动时木马也随之运行。
  • 替换系统命令:通过替换系统常用的命令,如pwd,来触发木马的执行。

权限维持脚本编写

攻击者可能会编写权限维持脚本,这些脚本通过父进程检测子进程的存在,如果子进程被删除,父进程将自动重启子进程。这种做法使得木马即使被删除,也能自动恢复。

手工清理后门

清理后门包括以下几个步骤:

  1. 分析计划任务:检查/etc/cron*目录下的计划任务,确认是否有可疑的定时执行脚本。
  2. 检查开机启动脚本:查看/etc/init.d/目录下的脚本,确认是否有木马程序被添加到开机启动项。
  3. 使用md5sum检查文件完整性:对系统文件和脚本生成md5值,并与正常系统的md5值进行对比,找出被篡改的文件。
  4. 使用rpm检查文件完整性:使用rpm -Va命令检查rpm安装的软件包的文件完整性。

使用Rootkit隐藏踪迹

Rootkit是一种能够隐藏恶意进程、文件和网络活动的软件。例如,Reptile-rootkit可以隐藏进程、TCP/UDP端口等。

使用rkhunter Rootkit猎手检查Rootkit

rkhunter是一个用于检测系统rootkits和本地提权漏洞的工具。它可以扫描已知的rootkit特征码,并检查系统文件的异常属性。

安装rkhunter

在基于RPM的系统上,可以通过EPEL源安装rkhunter:

yum install epel-release -y
yum install rkhunter unhide

使用rkhunter扫描系统

使用以下命令更新rkhunter的数据库,并执行系统扫描:

rkhunter --update
rkhunter --check

检测Rootkit

rkhunter将执行一系列测试,包括MD5校验、检测rootkits使用的二进制文件、特洛伊木马的特征码检测等。

结论

手动查杀Linux下的木马和Rootkit需要对系统有深入的了解和正确的工具。通过模拟攻击者的行为,我们可以更好地理解他们的技术手段,并采取相应的防御措施。使用rkhunter等工具可以帮助系统管理员检测和清除这些恶意软件,保护系统的安全。

请注意,本文中的技术仅供教育目的,切勿用于非法活动。维护网络安全是每个网络公民的责任。

小宇python
关注
专栏目录
木马病毒清除方式
Sumarua的博客
07-11 3867
​紫狐(Purple Fox)Rootkit木马病毒,最早在2018年被网络安全人员发现,该恶意软件存在多种蠕虫化传播方式并使用驱动级维权方式,难清除是安全从业人员遇到最大的问题,在这里我们给大家提供一些入侵方式解读及清除方式。 执行方式: 清除方式: 安全模式启动 因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除,需要重启以安全模式才能删除,直接重启,按F8进入安全模式。删除恶意的dll文件 直接搜一下相关的dll文件,其格式为MSxxxxxxapp.dll,其中xxxxxx
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux平台下Rootkit木马分析与检测 Linux操作系统是当前最流行的操作系统之一,而Rootkit木马作为当前危害最大的木马程序,它能够运行在内核层,从中破坏系统的内核结构,隐蔽性比传统木马程序更强。因此,Rootkit...
linux杀木马软件,linux下的木马软件
weixin_42298032的博客
05-10 161
Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01,题目是Ongoing Network Monitoring Attacks,最新的修订时间是1997年9月19日。从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中针对SunOS和Linux两种操作系...
linux被植入木马排思路
最新发布
qq_59634082的博客
08-20 1022
1、看一定时间内文件的情况 find / -name "*" -type f -newermt '2022-08-25 00:00:00'!2、看tomcat、nginx的比较大的.jsp .htm文件 find /目录 -name .jsp -o -size +10000k。在相应的文件里把tomcat2用户添加的内容删除 /etc/shadow /etc/group ,异常用户直接锁定。3、看passwd的修改时间,判断是否在不知情的情况下被添加用户 ls -l /etc/passwd。
Linux木马病毒处理
小树苗
10-13 4455
如果是云服务器可以在云监控态势与感知中直接获取木马文件相关进程name,id以及路径如下: 文件路径: /opt/apache-tomcat-7.0.104/bin/shell1.elf 恶意文件md5: 91cc7f105856a0e9eb6a29ef3d08d9ce 进程id: 27504 如果是物理机需要仔细去终端排; top #仔细检异常进程pid ls -l /proc/pid/exe #看异常进程命令所在地 严重的时候木马病毒会修改或替换平时常用的系统命令 ps,ls等命令执行无..
记录一次紫狐Rootkit应急响应过程
weixin_48421613的博客
08-16 3536
紫狐Rootkit应急响应分享,转载请说明出处
【ceph】如何打印一个osd的op流程,排osd在干什么
zerotoall的博客
11-24 354
【ceph】如何打印一个osd的op流程,排某个osd具体在干什么
Rootkit木马隐藏技术分析与检测技术综述
02-08
Rootkit木马隐藏技术分析与检测技术综述 Rootkit木马隐藏技术是指Rootkit木马通过修改Windows操作系统的内核模块或设备驱动程序来隐藏自己的存在,以避免被安全软件或系统管理员发现。常见的Rootkit木马隐藏技术...
Linux Rootkit_evil_linux_rootkit_
10-02
1. **Linux内核编程**:了解内核模块如何编写和加载,以及它们如何与系统其他部分交互,这是分析rootkit的基础。 2. **系统调用**:理解Linux系统调用的工作方式,因为rootkit可能会修改这些调用来隐藏其存在。 3....
手工实战Rootkit木马.pdf
05-19
### 手工实战Rootkit木马 #### 一、Rootkit木马概述 **Rootkit木马**是一种高级恶意软件,它可以深入操作系统的核心层(Ring0级别),利用各种技术手段来隐藏自己的存在,并对抗安全软件的检测和清除。这类木马...
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 1982
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
应急响应篇 --自动化查杀Linux后门及Rootkit
春日野穹
05-26 2582
0x0引言~ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使 企业的网络信息系统在最短时间内恢复正常工作,进一步找入侵来源,还原入侵事故过程,同时给出 解决方案与防范措施,为企业挽或减少经济损失,本篇主要概述两款基于linux下病毒查杀的工具(河马、chkrootkit) 文章目录 河马 webshell扫描器 下载传送门 安装过程 实战演示 chkrootkit 下载传送门 安装过程 实战演示 河马 webshell扫描器 1.下载
一次Linux中的木马病毒解决经历,附超全教程文档
2401_84248479的博客
04-11 782
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps看,杀死的两个进程又有了…从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
【转】记一次Linux木马清除过程
tpriwwq的专栏
10-07 1500
Linux下一次典型的木马清除过程 包含很多实用技巧,运维必备
Linux平台下木马rootkit的检测和防范
靠谱运维
07-20 1975
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkitLinux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检手段很难发现这种木 马。
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2978
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
Linux服务器中了病毒后的清理方法
weixin_45625174的博客
05-15 1487
" -ls 和 find /usr/sbin/ -iname ".
Linux手动查杀木马
菜鸟、上路
08-25 6986
一、 模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的三种方法: 计划任务,crontab;开机启动;系统命令被替换,使用命令后被触发。 1、 生成木马程序病原体 [root@xuegod120 ~]# vim /usr/bin/fregonnzkq #!/bin/bash touch /tmp/aaa.txt while true do echo date >> /tmp...
Linux x86 v2.6 核心下的Rootkit技术解析
Linux v2.6环境下,Rootkit能够深入操作系统的核心层,即内核空间,从而实现对系统更深层次的控制和隐蔽。本资源探讨了Rootkit的基本原理,包括不同类型的Rootkit、它们的工作机制以及常见的实现方法。 Rootkit...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值