linux服务器木马后门检测
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。那这个是 check rookit。我们来看一下第二个工具,叫rookit hunter,这也是一个系统可以直接安装的工具。那安装完毕之后,执行这条命令就可以了,执行的过程我就不给大家讲了,你只要一路回车就可以了。重点是什么?重点是要会看结果。也就是说我们查询出如kite之后,那我怎么知道它是一个rookit?看这里边爆出来了,lookit。也就是说他做了一些这个隐藏,加入到内核里之后,看这都是挖点,说明已经被更改了,那这个时候就要去排查了,他是不是真的被更改了,或者说看一下是不是真的被替换了,那就需要去排查一下了。
如果实在排查不出来,可以将系统的这些检查出来的面料在同版本系统内拷贝过来一份,将原有的删除,那咱们怎么删除?隐藏的root的。 Look at。它可以隐藏文件,那它就可以隐藏自身。也就是说我在利用这条命令去看,如Kate的时候,有可能是看不见的,这里看见了,也就是说我可以隐藏自己,但是我这里没有配置,编译的时候没有配置,所以他没有隐藏自己。如果我配置了隐藏自身,那么我这条命令是查不到的,也就是说查不到我的root的那怎么删除?这个时候有两种办法,第一种就是说你知道它的名字,直接执行他的名字,这样删除。
那第二种方法就是说这种就比较顽强的了,你要把Linux挂载到其他的Linux系统上,去找到它,这样的话把它删除掉就可以了。其中rookit demo就是我现在用的rookit,大家可以自己编译尝试一下,那我用到的版本是乌班图20.04,在这里严重声明一下,文中所用的技术只能用于安全研究,不能用于任何非法用途。那请勿在生产环境测试的因为rookit并不是一个稳定的内核,一旦插入的内核有可能导致整个Linux崩溃,如果遇到一些被替换了系统命令文件的木马后门无法查找的话可以向服务器安全服务商SINE安全寻求技术支持进行详细的木马后门排查
相关文章
- 搭建 Linux 下的视频直播服务器(linux直播服务器)
- 深度探索:Linux服务器操作命令(linux服务器操作命令)
- Linux 中轻松安装Yum源(linux安装yum源)
- 服务器远程连接Linux服务器的正确方式(如何远程连接linux)
- Linux系统:研究与发展(linux系统论文)
- 在Linux中构建C多线程应用程序(c多线程linux)
- Linux搭建个人VPN服务器(linux拨vpn)
- Linux系统漏洞检测:做好防范(linux漏洞检测)
- Linux的发展之路:从分支到创新(linux的分支)
- 关闭Linux防火墙:必要的安全措施.(关闭linux的防火墙)
- 服务器连接外网远程Linux服务器变得更简单(外网远程linux)
- Linux服务器操作指南(linux服务器)
- Linux文件系统:大小写敏感特性的重要性(linux大小写敏感)
- 轻松搞定!教你如何清理Linux服务器存储空间(linux服务器空间清理)
- 服务器shell权限挑战极限:C语言获取Linux服务器Shell权限(c获取linux)
- Linux审计服务:安全掌握你系统运行(linux审计服务)
- Discover the Latest Advancements in the Linux World: Stay UptoDate with the Newest Version!(linux最新版本)
- Exploring the Different Types of Linux Servers for Your Business Needs(linux服务器类型)
- 深入了解Linux内存使用,助您更好地管理服务器(linux内存使用)
- Linux上的电驴:享受最高质量的娱乐体验(电驴 for linux)
- 永恒之蓝:Linux操作系统的终极挑战(永恒之蓝对linux)
- Linux服务器安全保卫:安装安全狗(linux服务器安全狗)
- Linux 迅速掌握基本命令行(linux 基本命令行)