Linux后门持久化排查

一、什么是持久化后门?

攻击者拿到服务器权限后,**写入开机自动运行程序,**实现长期控制,就算改密码、杀进程也无法清除,重启依旧复活。

二、四大高频持久化手段

1.Crontab定时任务后门

  • 原理:设置每分钟/每小时自动执行恶意脚本
  • 用途:拉取木马、反弹shell、挖矿重启、维持权限
  • 隐蔽性极强,新手极易忽略

2.SSH公钥免密登陆后门

  • 原理:攻击者把自己公钥写入服务器
  • 效果:**不需要密码直接登录服务器,**最高危后门

3.系统开机自启服务后门

  • 原理:创建恶意systemd服务,开机自动启动
  • 特点:伪装成系统服务,难以分辨

4.用户配置劫持后门

  • .bashrc / .profile登录触发后门
  • 只要有人登录服务器,自动执行恶意代码

三、整体排查思路

查定时任务------查免密密钥------查开机服务------查登录配置------全部清理加固

四、排查用户级定时任务后门

1.查看当前登录用户定时任务

复制代码
crontab -l
  • 查看当前帐号所有定时计划
  • 出现陌生sh脚本、陌生IP请求、下载命令=恶意后门

2.清空当前用户所有定时任务(应急清理)

复制代码
crontab -r

**作用:**一键删除所有定时后门,应急最快清理方式

五、排查系统全局定时任务

1.查看系统定时目录

复制代码
ls /etc/cron.d/

2.查看系统周期定时文件夹

复制代码
ls /etc/cron.hourly/ #每小时执行
ls /etc/cron.daily/ #每天执行
ls /etc/cron.weekly/ #每周执行
ls /etc/cron.monthly/ #每月执行

作用:排查自动执行的恶意脚本

3.查看系统定时总配置

复制代码
cat /etc/crontab

查看是否被添加全局恶意执行命令

六、排查ssh免密登录后门(极度危险)

1.进入SSH配置目录

复制代码
cd ~/.ssh/

2.查看免密登录公钥文件

复制代码
cat authorized_keys

重点判断:

  • 里面出现陌生公钥字符串=被植入免密后门
  • 攻击者无需密码随时登录服务器

3.应急清理免密后门

复制代码
> ~/.ssh/authorized_keys

清空所有免密密钥,禁止无密码登录

4.加固关闭SSH密钥登录

复制代码
vi /etc/ssh/sshd_config

修改内容

复制代码
PasswordAuthentication yes
PubkeyAuthentication no

重启SSH生效

复制代码
systemctl restart sshd

七、排查所有开机自启服务

1.查看所有开机自启服务

复制代码
systemctl list-unit-files | grep enabled

筛选所有开机自动启动服务,查找陌生不知名服务

2.查看正在运行服务

复制代码
systemctl status 服务名

3.禁用恶意开机服务

复制代码
systemctl disable 恶意服务名
sysytemctl stop 恶意服务名

八、排查登录触发型后门

1.查看用户登录自动执行脚本

复制代码
cat ~/.bashrc
cat ~/.bash_profile

只要用户登录服务器,文件内命令自动执行

出现下载脚本、请求陌生IP即为后门

2.全局系统登录后门

复制代码
cat /etc/profile

全局所有用户登录都会执行,危害极大

九、临时目录恶意文件排查(木马聚集地)

复制代码
ls /tmp/
ls /var/tmp/

黑客木马、脚本、压缩包90%都放在这两个临时目录

批量清理命令

复制代码
rm -rf /tmp/* /var/tmp/*

十、锁定系统关键文件禁止篡改

复制代码
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/crontab

加锁保护,黑客无法修改用户、密码、定时任务

解锁命令

复制代码
chatrr -i 文件名
相关推荐
七歌杜金房3 小时前
我终于又有了自己的 Linux 电脑
linux·debian·mac
SkyWalking中文站11 小时前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维
tntxia1 天前
linux curl命令详解_curl详解
linux
扛枪的书生1 天前
Linux 网络管理器用法速查
linux
SkyWalking中文站1 天前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
顺风尿一寸1 天前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
雪梨酱QAQ1 天前
Kubeneters HA Cluster部署
运维
江华森2 天前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维
江华森2 天前
Matplotlib 数据绘图基础入门
运维
XIAOHEZIcode2 天前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行