攻防演练:1.木马后门文件演练

为了防止 Linux 服务器上传木马后门文件,可以编写一个脚本,定期检查系统中的可疑文件、进程和权限。以下是一个示例脚本,用于检查常见的后门文件、异常进程和权限问题。


脚本功能

  1. 检查常见后门文件路径。
  2. 检查异常 SUID/SGID 文件。
  3. 检查异常进程。
  4. 检查定时任务(cron jobs)。
  5. 检查网络连接。
  6. 记录检查结果到日志文件。

脚本代码

bash 复制代码
#!/bin/bash

# 日志文件路径
LOG_FILE="/var/log/security_scan.log"

# 时间戳
echo "===== 安全扫描开始 [$(date)] =====" >> $LOG_FILE

# 1. 检查常见后门文件路径
echo "===== 检查常见后门文件路径 =====" >> $LOG_FILE
BACKDOOR_PATHS=(
    "/tmp" "/var/tmp" "/dev/shm" "/root/.ssh/authorized_keys"
    "/etc/passwd" "/etc/shadow" "/etc/crontab" "/etc/ld.so.preload"
)
for path in "${BACKDOOR_PATHS[@]}"; do
    if [ -e "$path" ]; then
        echo "检查路径: $path" >> $LOG_FILE
        find "$path" -type f -mtime -7 -exec ls -lh {} \; >> $LOG_FILE
    fi
done

# 2. 检查异常 SUID/SGID 文件
echo "===== 检查异常 SUID/SGID 文件 =====" >> $LOG_FILE
find / -type f \( -perm -4000 -o -perm -2000 \) -exec ls -lh {} \; 2>/dev/null >> $LOG_FILE

# 3. 检查异常进程
echo "===== 检查异常进程 =====" >> $LOG_FILE
ps aux | grep -E "(bash|sh|nc|telnet|ssh|wget|curl|python|perl|php)" | grep -v grep >> $LOG_FILE

# 4. 检查定时任务
echo "===== 检查定时任务 =====" >> $LOG_FILE
crontab -l >> $LOG_FILE
ls -lh /etc/cron* >> $LOG_FILE

# 5. 检查网络连接
echo "===== 检查网络连接 =====" >> $LOG_FILE
netstat -tulnp | grep -E "(LISTEN|ESTABLISHED)" >> $LOG_FILE

# 6. 检查 /etc/passwd 和 /etc/shadow 权限
echo "===== 检查 /etc/passwd 和 /etc/shadow 权限 =====" >> $LOG_FILE
ls -lh /etc/passwd >> $LOG_FILE
ls -lh /etc/shadow >> $LOG_FILE

# 扫描完成
echo "===== 安全扫描完成 [$(date)] =====" >> $LOG_FILE

使用方法

  1. 将脚本保存为 security_scan.sh

  2. 赋予脚本执行权限:

    复制代码
    chmod +x security_scan.sh
  3. 定期运行脚本(例如每天一次),可以通过 cron 设置:

    复制代码
    crontab -e

    添加以下内容:

    复制代码
    0 2 * * * /path/to/security_scan.sh

    这表示每天凌晨 2 点运行脚本。

  4. 检查日志文件 /var/log/security_scan.log,查看扫描结果。

注意事项

  • 脚本仅用于基本检查,无法检测所有类型的后门或恶意文件。
  • 如果发现可疑文件或进程,需要进一步分析。
  • 定期更新系统和软件,以减少漏洞风险。
  • 结合其他安全工具(如 fail2banrkhunterclamav)使用,增强安全性。

扩展功能

  • 添加邮件通知功能,将扫描结果发送到管理员邮箱。
  • 使用 clamav 等工具扫描系统中的恶意文件。
  • 检查系统日志(如 /var/log/auth.log)中的异常登录记录。

通过定期运行此脚本,可以有效提高服务器的安全性,及时发现潜在的木马后门文件。

相关推荐
Blossom.11827 分钟前
把AI“刻”进玻璃:基于飞秒激光量子缺陷的随机数生成器与边缘安全实战
人工智能·python·单片机·深度学习·神经网络·安全·机器学习
wanhengidc2 小时前
云手机的安全保护措施有哪些?
运维·服务器·安全·游戏·智能手机·云计算
岛屿旅人2 小时前
智库报告美国如何打网络战
网络·人工智能·安全·web安全
dot to one5 小时前
Centos 7 环境下mysql的安装及配置
linux·mysql·centos
newxtc5 小时前
【广州公共资源交易-注册安全分析报告-无验证方式导致安全隐患】
开发语言·selenium·安全·yolo
网安INF5 小时前
网络攻防技术:拒绝服务攻击
网络·安全·web安全·网络安全
ayaya_mana6 小时前
CentOS 7 安装指定内核版本与切换内核版本
linux·运维·centos
躺平的赶海人6 小时前
C# Dictionary 线程安全指南:多线程下操作 Dictionary<string, DateTime> 的加锁策略
java·安全·c#
GIS数据转换器7 小时前
2025无人机在农业生态中的应用实践
大数据·网络·人工智能·安全·无人机
广州华锐视点7 小时前
火电厂VR安全培训系统有哪些:广州华锐互动构建 “安全元宇宙” 生态
安全·vr