一、什么是持久化后门?
攻击者拿到服务器权限后,**写入开机自动运行程序,**实现长期控制,就算改密码、杀进程也无法清除,重启依旧复活。
二、四大高频持久化手段
1.Crontab定时任务后门
- 原理:设置每分钟/每小时自动执行恶意脚本
- 用途:拉取木马、反弹shell、挖矿重启、维持权限
- 隐蔽性极强,新手极易忽略
2.SSH公钥免密登陆后门
- 原理:攻击者把自己公钥写入服务器
- 效果:**不需要密码直接登录服务器,**最高危后门
3.系统开机自启服务后门
- 原理:创建恶意systemd服务,开机自动启动
- 特点:伪装成系统服务,难以分辨
4.用户配置劫持后门
- .bashrc / .profile登录触发后门
- 只要有人登录服务器,自动执行恶意代码
三、整体排查思路
查定时任务------查免密密钥------查开机服务------查登录配置------全部清理加固
四、排查用户级定时任务后门
1.查看当前登录用户定时任务
crontab -l- 查看当前帐号所有定时计划
- 出现陌生sh脚本、陌生IP请求、下载命令=恶意后门
2.清空当前用户所有定时任务(应急清理)
crontab -r**作用:**一键删除所有定时后门,应急最快清理方式
五、排查系统全局定时任务
1.查看系统定时目录
ls /etc/cron.d/2.查看系统周期定时文件夹
ls /etc/cron.hourly/ #每小时执行
ls /etc/cron.daily/ #每天执行
ls /etc/cron.weekly/ #每周执行
ls /etc/cron.monthly/ #每月执行作用:排查自动执行的恶意脚本
3.查看系统定时总配置
cat /etc/crontab查看是否被添加全局恶意执行命令
六、排查ssh免密登录后门(极度危险)
1.进入SSH配置目录
cd ~/.ssh/2.查看免密登录公钥文件
cat authorized_keys重点判断:
- 里面出现陌生公钥字符串=被植入免密后门
- 攻击者无需密码随时登录服务器
3.应急清理免密后门
> ~/.ssh/authorized_keys清空所有免密密钥,禁止无密码登录
4.加固关闭SSH密钥登录
vi /etc/ssh/sshd_config修改内容
PasswordAuthentication yes
PubkeyAuthentication no重启SSH生效
systemctl restart sshd七、排查所有开机自启服务
1.查看所有开机自启服务
systemctl list-unit-files | grep enabled筛选所有开机自动启动服务,查找陌生不知名服务
2.查看正在运行服务
systemctl status 服务名3.禁用恶意开机服务
systemctl disable 恶意服务名
sysytemctl stop 恶意服务名八、排查登录触发型后门
1.查看用户登录自动执行脚本
cat ~/.bashrc
cat ~/.bash_profile只要用户登录服务器,文件内命令自动执行
出现下载脚本、请求陌生IP即为后门
2.全局系统登录后门
cat /etc/profile全局所有用户登录都会执行,危害极大
九、临时目录恶意文件排查(木马聚集地)
ls /tmp/
ls /var/tmp/黑客木马、脚本、压缩包90%都放在这两个临时目录
批量清理命令
rm -rf /tmp/* /var/tmp/*十、锁定系统关键文件禁止篡改
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/crontab加锁保护,黑客无法修改用户、密码、定时任务
解锁命令
chatrr -i 文件名