应急响应-主机后门webshell的排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门)

0x00 windows主机后门排查思路

针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等

排查对外连接状态:

借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等

思路1:pchunter查看到异常的对外连接

定位该exe文件,上传微步沙箱显示异常

思路2:cmd窗口查看对外链接状态:

netstat -anpt

cmd查看进程状态:tasklist

ID为4316存在运行

思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考

火绒剑查看网络情况:系统监控存在连接状态,

0x01 启动项后门的排查

启动项后门命令:

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

这是一个用于在Windows注册表中添加启动项的命令。该命令将在当前用户的注册表路径下的"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"键中添加一个名为"backdoor"的值,其值数据为"C:\shell.exe"。

pchunter,火绒剑等均可查看启动信息

映像劫持,隐藏账户,均可借助工具查看,

linux的后门排查也可以netstat -anpt查看连接状态研判 ,发现异常连接kill进程

rootkit情况说明

linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等

处置:Gscan上传受害机环境直接运行(包含检测rootkit,可以作为其他的Linux应急)(未检测出rootkit)

目前开源自动化工具均无法检测rootkit

目前内存马和rootkit对于蓝队无法百分百解决检测

相关推荐
猫耳君7 小时前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之四
安全·web安全·网络安全·汽车·测试·security·cybersecurity
余防10 小时前
XXE - 实体注入(xml外部实体注入)
xml·前端·安全·web安全·html
粟悟饭&龟波功14 小时前
【网络安全】二、入门篇:HTTP 协议进阶 ——GET/POST 常用传参方法详解
安全·web安全·http
AORO202515 小时前
三防手机是什么?有哪些值得购入的三防手机?
网络·5g·安全·智能手机·信息与通信
thginWalker16 小时前
安全系统架构
安全·系统架构
lingggggaaaa16 小时前
小迪安全v2023学习笔记(九十讲)—— 小程序篇&反编译&外在&主包分包&配置泄露&算法逆向&未授权
笔记·学习·安全·web安全·网络安全·小程序
独行soc18 小时前
2025年渗透测试面试题总结-90(题目+回答)
网络·python·安全·web安全·adb·渗透测试·安全狮
纠结的学渣19 小时前
信息安全基础知识:03密码学基础知识
安全
缘的猿19 小时前
Kubernetes 安全管理:认证、授权与准入控制全面解析
java·安全·kubernetes
乾博电子19 小时前
GFM100 地线连续性检测监控器:破解工业接地痛点,筑牢电力系统安全防线
安全·系统安全·在线监测·在线绝缘监测仪·地线连续性绝缘监测