歡迎光臨
我們一直在努力

Linux常見backdoor及排查技術

#紅隊與內網滲透

原文地址:https://xz.aliyun.com/t/4090

在伺服器被入侵後進行應急響應無非通過檔案排查、網路排查、程序排查、系統資訊排查等方法進行入侵排查。下面就一些常見技巧以及公開的工具進行剖析介紹

前言引用來源:https://xz.aliyun.com/t/4090
文章圖片來源:https://xz.aliyun.com/t/4090

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

波波觀點:Linux backdoor 排查要從持久化位置開始

Linux 常見後門不一定只是一個可疑檔案,可能藏在 SSH key、系統帳號、crontab、systemd service、啟動腳本、共享物件、LD_PRELOAD 或被替換的系統工具中。排查時要先建立時間線,再逐層檢查帳號、程序、網路、檔案與日誌。

排查清單

  • 檢查 /etc/passwd、sudoers、authorized_keys、最近登入紀錄與異常帳號。
  • 盤點 crontab、systemd、rc.local、shell profile 與可疑自動啟動項。
  • 用 ss、lsof、ps、top、journalctl 與 auth.log 追蹤程序與外連。
  • 比對近期修改檔案、可疑二進位、WebShell 與未知下載工具。

復原建議

若主機已確認被植入後門,最乾淨的做法通常是備份必要資料、確認備份乾淨後重建系統,再輪替所有憑證。若只能原機修復,也要先隔離網路、保存證據、移除持久化、更新套件、修補入口並加強監控。

這篇文章後續可以補上 Ubuntu 24.04 排查指令與 WordPress 主機應急流程,會很符合目前 LonelySec 讀者與站台維運需求。

延伸閱讀與專題

贊(0) 贊助
未經允許不得轉載:波波的寂寞世界 » Linux常見backdoor及排查技術

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站