配置文件排查:
文件屬性:stat /etc/rc.local
文件配置:cat /etc/fstab
文件內容:grep -V '#' /etc/bashrc | more
文件目錄:ls -last /etc/profile.d/
cron后門排查:
配置文件目錄:
/etc/cron.d/
/var/spool/cron/
配置文件:
/etc/crontab
/etc/anacrontab
win換行符:
^M = ctrl+v -> ctrl+m
sed -i 's/^M//g' /var/spool/cron/root
setuid后門排查:
根據文件權限來查找指定文件
find / -perm -4000 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -perm -4000 -o -perm -2000 2>dev/null | xargs ls -lh
ssh后門排查
rpm包完整性校驗
rpm -Vf 'type sshd' 'type ssh'
S = 大小 / M = 權限 / 5=MD5 / T=時間 / L=鏈接
獲取sshd進程pid並跟蹤系統調用
strace -o out.txt -ff -p pid
獲取ssh進程pid傳給strace進行監控
ps -ef | grep -vE 'sshd|grep' | grep ssh | awk '{print $2}' |xargs
strace -o out.txt -f -p 2>&1
通過文件操作特征跟蹤后門
grep open out.txt* | grep -e APPEND
pam后門排查:
pam配置文件檢查
stat /etc/pam.d/sshd
cat /etc/pam.d/sshd
so文件加載排查
ps -ef |grep sshd |grep pts
pmap pid |grep security
sshd進程操作跟蹤
strace -o out -ff -p pid
cat out* |grep APPEND
ssh公鑰排查
公鑰文件配置
grep AuthorizedKeysFile /etc/ssh/sshd_config
公鑰文件搜索
find / -name authorized_keys
文件屬性及內容
stat authorized_keys
預加載后門排查
系統環境變量檢查
echo $LD_PRELOAD
unset LD_PRELOAD
繞過后門hook隱藏
./busybox cat /etc/ld.so.preload
跟蹤文件系統調用
./strace -f -e trace=file /bin/cat
acess("/etc/ld.so.preload", R_OK)
后門配置文件清理
lsattr /etc/ld.so.preload
echo > /etc/ld.so.preload
strace后門排查
系統進程篩查
進程名稱、命令參數
strace跟蹤
strace -o out.txt -ff -p pid
調用內核ptrace特性來實現功能
alias命令排查
module后門排查
中間件配置排查
控制器及模塊加載配置
模塊文件排查
文件修改時間排序
strings evil.so |grep -e exec
已加載模塊確認
pamp -q pid |grep auth
內核后門排查
驅動加載
lsmod / modinfo / modprobe -l
cat /proc/modules
網絡層排查
正向: nmap -sV -PN -T4 -p-
反向:tcpdump -i eth0 src host hostname -w send.cap
系統文件排查
linux PE / LiveCD (Porteus)
fdisk -l /mount /dev/mapper/VolGroup
常見目錄:
駐留文件及目錄
/etc/crontab、/etc/init.d、/etc/rc.local
隱藏文件及目錄
/tmp/.evil、/tmp/ ./
可寫可執行權限
/tmp、/var/tmp、/dev/shm
常用工具:
Rookit檢測
chkrootkit、rkhunter
基於特征檢測的腳本文件
靜態編譯工具
busybox-i686
busybox-x86_64
LiveCD
系統急救恢復、后門分析取證
Tripwire
監控和告警任意系統文件的更改(IDS)