应急响应入侵排查篇

最新推荐文章于 2024-11-08 14:53:36 发布

瓦吉姆

最新推荐文章于 2024-11-08 14:53:36 发布

阅读量2.1k

点赞数 1

文章标签：安全 web安全

原文链接：https://github.com/Bypass007/Emergency-Response-Notes/blob/master/%E7%AC%AC01%E7%AB%A0%EF%BC%9A%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5%E7%AF%87

版权

入侵排查

Windows入侵排查

应急事件分类

web入侵

网页挂马、主页篡改、Webshell

系统入侵

病毒木马、勒索软件、远控后门

网页攻击

DDOS 攻击、DNS 劫持、ARP 欺骗

入侵排查思路

检查系统账号安全

1、查看服务器是否有弱口令，远程管理端口是否对公网开放。

• 检查方法：据实际情况咨询相关服务器管理员。

2、查看服务器是否存在可疑账号、新增账号。

• 检查方法：打开 cmd 窗口，输入 lusrmgr.msc 命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

3、查看服务器是否存在隐藏账号、克隆账号。

• 检查方法：

• b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。

• a、打开注册表，查看管理员对应键值。

4、结合日志，查看管理员登录时间、用户名是否存在异常。

• 检查方法：

• a、Win+R 打开运行，输入"eventvwr.msc"，回车运行，打开“事件查看器”。

• b、导出 Windows 日志 -- 安全，利用微软官方工具 Log Parser 进行分析。

检查异常端口、进程

1、检查端口连接情况，是否有远程连接、可疑连接。

检查方法：

• a、使用netstat -ano 命令查看目前的网络连接，定位可疑的 ESTABLISHED

• b、根据 netstat 命令定位出的 PID 编号，再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

2、进程

检查方法：

• a、开始 -- 运行 -- 输入 msinfo32 命令，依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期以及启动时间等。

• b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

• c、通过微软官方提供的 Process Explorer 等工具进行排查。

• d、查看可疑的进程及其子进程。可以通过观察以下内容：

• 没有签名验证信息的进程

• 没有描述信息的进程

• 进程的属主

• 进程的路径是否合法

• CPU 或内存资源占用长时间过高的进程

3、小技巧：

a、查看端口对应的 PID：netstat -ano | findstr "port"
b、查看进程对应的 PID：任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"
c、查看进程对应的程序位置：

• 任务管理器 -- 选择对应进程 -- 右键打开文件位置

• 运行输入 wmic，cmd 界面输入 process

d、tasklist /svc 进程 -- PID -- 服务
e、查看Windows服务所对应的端口：

• %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路径）

• %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C：\Windows 路径

检查启动项，计划任务，服务

检查服务器是否有异常的启动项。

检查方法：

• a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。 b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。 c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

• 检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

• d、利用安全软件查看启动项、开机时间管理等。

• e、组策略，运行 `gpedit.msc`

• ![](./image/sum-1-4.png)

检查计划任务

* 检查方法：

• a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。

• b、单击【开始】>【运行】；输入 `cmd`，然后输入 `at`，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

服务自启动

检查方法：单击【开始】>【运行】，输入 `services.msc`，注意服务状态和启动类型，检查是否有异常服务。

• 1、查看系统版本以及补丁信息

• #### 1.4 检查系统相关信息

• * 检查方法：单击【开始】>【运行】，输入 `systeminfo`，查看系统信息。

• 检查方法：

• a、查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。

• b、单击【开始】>【运行】，输入 `%UserProfile%\Recent`，分析最近打开分析可疑文件。

• c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

• d、回收站、浏览器下载目录、浏览器历史记录

• e、修改时间在创建时间之前的为可疑文件

发现并得到 WebShell、远控木马的创建时间，如何找出同一时间范围内创建的文件？

• a、利用 [Registry Workshop](http://www.torchsoft.com/en/rw_information.html) 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件。

• b、利用计算机自带文件搜索功能，指定修改时间进行搜索。

自动化查杀

• 病毒查杀

• * 检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。

• * webshell查杀

• * 检查方法：选择具体站点路径进行webshell查杀，建议使用两款 WebShell 查杀工具同时查杀，可相互补充规则库的不足。

日志分析

• 系统日志

• * 分析方法：

• a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。

• b、Win+R 打开运行，输入 "eventvwr.msc"，回车运行，打开"事件查看器"。

• C、导出应用程序日志、安全日志、系统日志，利用 [Log Parser](https://www.microsoft.com/en-us/download/details.aspx?id=24659) 进行分析。

• Web 访问日志

• * 分析方法：

• a、找到中间件的web日志，打包到本地方便进行分析。

• b、推荐工具：Windows 下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。Linux 下，使用 Shell 命令组合查询分析。

工具篇

• 2.1 病毒分析

• PCHunter：http://www.xuetr.com

• 火绒剑：https://www.huorong.cn

• Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

• processhacker：https://processhacker.sourceforge.io/downloads.php

• autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

• OTL：https://www.bleepingcomputer.com/download/otl/

• SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

• #### 2.2 病毒查杀

• 卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）

• 大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

• 火绒安全软件：https://www.huorong.cn

• 360杀毒：http://sd.360.cn/download_center.html

• #### 2.3 病毒动态

• CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

• 微步在线威胁情报社区：https://x.threatbook.cn

• 火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

• 爱毒霸社区：http://bbs.duba.net

• 腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

• #### 2.4 在线病毒扫描网站

• Virustotal：https://www.virustotal.com

• Virscan：http://www.virscan.org

• 腾讯哈勃分析系统：https://habo.qq.com

• Jotti 恶意软件扫描系统：https://virusscan.jotti.org

• #### 2.5 webshell查杀

• D盾_Web查杀：http://www.d99net.net/index.asp

• 河马 WebShell 查杀：http://www.shellpub.com

Linux入侵排查

0x00 前言

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失

入侵排查思路

1.1 账号安全

基本使用：

• 1、用户信息文件 /etc/passwd

• root:x:0:0:root:/root:/bin/bash

• account:password:UID:GID:GECOS:directory:shell

• 用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的 shell

• 注意：无密码只允许本机登陆，远程不允许登陆

• 2、影子文件 /etc/shadow

• root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

• 用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

• who 查看当前登录用户（tty 本地登陆 pts 远程登录）

• w 查看系统信息，想知道某一时刻用户的行为

• uptime 查看登陆多久、多少用户，负载状态

入侵排查

• 1、查询特权用户特权用户(uid 为0)

• [root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

• 2、查询可以远程登录的帐号信息

• [root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

• 3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限

• [root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

• 4、禁用或删除多余及可疑的帐号

• usermod -L user 禁用帐号，帐号无法登录，/etc/shadow 第二栏为 ! 开头

• userdel user 删除 user 用户

• userdel -r user 将删除 user 用户，并且将 /home 目录下的 user 目录一并删除

历史命令

基本使用：

• 通过 .bash_history 文件查看帐号执行过的系统命令

• 1、root 用户的历史命令

• histroy

• 2、打开 /home 各帐号目录下的 .bash_history，查看普通帐号执行的历史命令。为历史的命令增加登录的 IP 地址、执行命令时间等信息：

• 1）保存1万条命令

• sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

• 2）在/etc/profile的文件尾部添加如下行数配置信息：

• ######jiagu history xianshi#########

• USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`

• if [ "$USER_IP" = "" ]

• then

• USER_IP=`hostname`

• fi

• export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "

• shopt -s histappend

• export PROMPT_COMMAND="history -a"

• ######### jiagu history xianshi ##########

• 3）source /etc/profile 让配置生效

• 生成效果： 1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile

• 3、历史操作命令的清除：history -c

• 但此命令并不会清除保存在文件中的记录，因此需要手动删除 .bash_profile 文件中的记录。

入侵排查：

• 进入用户目录下，导出历史命令。

• cat .bash_history >> history.txt

检查异常端口

使用 netstat 网络连接命令，分析可疑端口、IP、PID

• netstat -antlp | more

• 查看下 pid 所对应的进程文件路径，

• 运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID 为对应的 pid 号）

检查异常进程

使用 ps 命令，分析进程

• ps aux | grep pid

检查开机启动项

基本使用：

• 系统运行级别示意图：

• 运行级别含义

• 0关机

• 1单用户模式，可以想象为windows的安全模式，主要用于系统修复

• 2不完全的命令行模式，不含NFS服务

• 3完全的命令行模式，就是标准字符界面

• 4系统保留

• 5图形模式

• 6重启动

查看运行级别命令 runlevel

• 系统默认允许级别

• vi /etc/inittab

• id=3：initdefault #系统开机后直接进入哪个运行级别

• 开机启动配置文件

• /etc/rc.local

• /etc/rc.d/rc[0~6].d

例子：当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在 /etc/init.d 目录下，然后在 /etc/rc.d/rc*.d 文件中建立软链接即可。

• 注：此中的 * 代表 0,1,2,3,4,5,6 这七个等级

• root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

• 此处sshd是具体服务的脚本文件，S100ssh是其软链接，S开头代表加载时自启动；如果是K开头的脚本文件，代表运行级别加载时需要关闭的。

入侵排查：

• 启动项文件：

• more /etc/rc.local

• /etc/rc.d/rc[0~6].d

• ls -l /etc/rc.d/rc3.d/

检查定时任务

基本使用

• 1、利用 crontab 创建计划任务

• 基本命令

• crontab -l 列出某个用户cron服务的详细内容

• Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名例如: /var/spool/cron/root

• crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)

• crontab -e 使用编辑器编辑当前的crontab文件

• 如：*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

• 2、利用 anacron 命令实现异步定时任务调度

• 使用案例

• 每天运行 /home/backup.sh 脚本：

• vi /etc/anacrontab

• @daily 10 example.daily /bin/bash /home/backup.sh

• 当机器在 backup.sh 期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待 7天。

入侵排查

• 重点关注以下目录中是否存在恶意脚本

• /var/spool/cron/*

• /etc/crontab

• /etc/cron.d/*

• /etc/cron.daily/*

• /etc/cron.hourly/*

• /etc/cron.monthly/*

• /etc/cron.weekly/

• /etc/anacrontab

• /var/spool/anacron/*

• 小技巧：

• more /etc/cron.daily/* 查看目录下所有文件

检查服务

服务自启动

• 第一种修改方法：

• chkconfig [--level 运行级别] [独立服务名] [on|off]

• chkconfig –level 2345 httpd on 开启自启动

• chkconfig httpd on （默认level是2345）

• 第二种修改方法：

• 修改 /etc/re.d/rc.local 文件

• 加入 /etc/init.d/httpd start

• 第三种修改方法：

• 使用 ntsysv 命令管理自启动，可以管理独立服务和 xinetd 服务。

入侵排查

• 1、查询已安装的服务：

• RPM 包安装的服务

• chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务

• ps aux | grep crond 查看当前服务

• 系统在3与5级别下的启动项

• 中文环境

• chkconfig --list | grep "3:启用\|5:启用"

• 英文环境

• chkconfig --list | grep "3:on\|5:on"

• 源码包安装的服务

• 查看服务安装位置，一般是在/user/local/

• service httpd start

• 搜索/etc/rc.d/init.d/ 查看是否存在

检查异常服务

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性
2、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？
可以使用find命令来查找，如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件
3、针对可疑文件可以使用 stat 进行创建修改时间。

检查系统日志

日志默认存放位置：/var/log/
查看日志配置情况：more /etc/rsyslog.conf
日志文件及说明

• /var/log/cron记录了系统定时任务相关的日志

• /var/log/cups记录打印信息的日志

• /var/log/dmesg记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

• /var/log/mailog记录邮件信息

• /var/log/message记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件

• /var/log/btmp记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

• /var/log/lastlog记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看

• /var/log/wtmp永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看

• /var/log/utmp记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询

• /var/log/secure记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

日志分析技巧

• 1、定位有多少IP在爆破主机的root帐号：

• grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

• 定位有哪些IP在爆破：

• grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

• 爆破用户名字典是什么？

• grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

• 2、登录成功的IP有哪些：

• grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

• 登录成功的日期、用户名、IP：

• grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

• 3、增加一个用户kali日志：

• Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001

• Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali , shell=/bin/bash

• Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

• #grep "useradd" /var/log/secure

• 4、删除用户kali日志：

• Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'

• Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'

• Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

• # grep "userdel" /var/log/secure

• 5、su切换用户：

• Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

• sudo授权执行:

• sudo -l

• Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

工具篇

rootkit查杀

chkrootkit

• 网址：http://www.chkrootkit.org

• 使用方法：

• wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

• tar zxvf chkrootkit.tar.gz

• cd chkrootkit-0.52

• make sense

• #编译完成没有报错的话执行检查

• ./chkrootkit

rkhunter

• 网址：http://rkhunter.sourceforge.net

• 使用方法：

• Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz

• tar -zxvf rkhunter-1.4.4.tar.gz

• cd rkhunter-1.4.4

• ./installer.sh --install

• rkhunter -c

病毒查杀

Clamav 克拉马夫

• 安装方式一：

• 网址：http://www.clamav.net/download.html

• 1、安装 zlib：

• wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

• tar -zxvf zlib-1.2.7.tar.gz

• cd zlib-1.2.7

• #安装一下gcc编译环境： yum install gcc

• CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/

• make && make install

• 2、添加用户组 clamav 和组成员 clamav：

• groupadd clamav

• useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

• 3、安装 Clamav

• tar –zxvf clamav-0.97.6.tar.gz

• cd clamav-0.97.6

• ./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib

• make

• make install

• 4、配置 Clamav

• mkdir /opt/clamav/logs

• mkdir /opt/clamav/updata

• touch /opt/clamav/logs/freshclam.log

• touch /opt/clamav/logs/clamd.log

• cd /opt/clamav/logs

• chown clamav:clamav clamd.log

• chown clamav:clamav freshclam.log

• 5、ClamAV 使用：

• /opt/clamav/bin/freshclam 升级病毒库

• ./clamscan –h 查看相应的帮助信息

• ./clamscan -r /home 扫描所有用户的主目录就使用

• ./clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果

安装方式二：

• #安装

• yum install -y clamav

• #更新病毒库

• freshclam

• #扫描方法

• clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log

• clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log

• clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log

• #扫描并杀毒

• clamscan -r --remove /usr/bin/bsd-port

• clamscan -r --remove /usr/bin/

• clamscan -r --remove /usr/local/zabbix/sbin

• #查看日志发现

• cat /root/usrclamav.log |grep FOUND

webshell查杀

Linux 版

• 河马 WebShell 查杀：http://www.shellpub.com

RPM check 检查

系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：

• ./rpm -Va > rpm.log

如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果，如果是. (点) 则表示测试通过。
验证内容中的8个信息的具体内容如下：

• S 文件大小是否改变

• M 文件的类型或文件的权限（rwx）是否被改变

• 5 文件MD5校验是否改变（可以看成文件内容是否改变）

• D 设备中，从代码是否改变

• L 文件路径是否改变

• U 文件的属主（所有者）是否改变

• G 文件的属组是否改变

• T 文件的修改时间是否改变

如果命令被替换了，如果还原回来：

• 文件提取还原案例：

• rpm -qf /bin/ls 查询 ls 命令属于哪个软件包

• mv /bin/ls /tmp 先把 ls 转移到 tmp 目录下，造成 ls 命令丢失的假象

• rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取 rpm 包中 ls 命令到当前目录的 /bin/ls 下

• cp /root/bin/ls /bin/ 把 ls 命令复制到 /bin/ 目录修复文件丢失

Linux安全检查脚本

Github 项目地址：

• https://github.com/grayddq/GScan

• https://github.com/ppabc/security_check

• https://github.com/T0xst/linux

如何发现隐藏的webshell

前言：

如何在百万行代码里发现隐藏的后门？

试想一下，如果你的网站被入侵，攻击者留下隐藏的后门，你真的都可以找出来吗？面对一个大中型的应用系统，数以百万级的代码行，是不可能做到每个文件每段代码进行手工检查的。

即使是一款拥有 99.9% 的 Webshell 检出率的检测引擎，依然可能存在 Webshell 绕过的情况。另外，像暗链、网页劫持、页面跳转等常见的黑帽 SEO 手法，也很难通过手动检测或工具检测全部识别出来。

最好的方式就是做文件完整性验证。通过与原始代码对比，可以快速发现文件是否被篡改以及被篡改的位置。当然，第一个前提是，你所在的团队已具备代码版本管理的能力，如果你是个人站长，相信你已经备份了原始代码。

1、文件 MD5 校验

下载D盾_Web查杀工具的时候，我们可以留意到下载的压缩包里，除了有一个 exe 可执行文件，还有一个文件 md5 值。这个是软件作者在发布软件时，通过 md5 算法计算出该 exe 文件的"特征值"。

下载地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip

文件 MD5：29285decadbce3918a4f8429ec33df46 WebShellKill.exe

当用户下载软件时，可以使用相同的校验算法计算下载到 exe 文件的特征值，并与软件开发者发布的特征值比较。如果两个特征值相同，则认为下载到的 exe 文件是正确的。如果两个特征值不同，则认为下载到 exe 文件是被篡改过的。

那同理可得，我们可以将所有网站文件计算一次 hash 值保存，当出现应急情况时，重新计算一次 hash 值，并与上次保存的 hash 值进行对比，从而输出新创建的、修改过及删除的文件列表。

文件 hash 值计算：

def md5sum(file): m=hashlib.md5() if os.path.isfile(file): f=open(file,'rb') for line in f: m.update(line) f.close else: m.update(file) return (m.hexdigest())