当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > Linux下初步后门查找

安全防护
注意防范搜索引擎网站的漏洞 避免遭受恶意攻击
IRC变种病毒在MSN上大行其道 可被黑客操纵
“关机能手”自动关闭电脑发起ARP攻击
打造SQL Server2000的安全策略
通过IE才能诱发 Firefox2.0发现重大漏洞
安全知识 当今最流行网络攻击六大趋势
安全防护:07月14日-16日病毒木马预警
用瑞星密码保护功能保护QQ密码
IE和Firefox混着用易遭黑客攻击
"卤猪"病毒毁你没商量 可让用户系统崩溃
自己动手删除各种病毒遗留文件
7月18日:瑞星播报--“灰鸽子变种HO”病毒
木马播报 警惕网上被“钓鱼”
危险病毒卤猪活动频繁 Linux等系统不受影响
即时通讯危险揭秘 网上聊天五大安全危机应对
揭密局域网计算机病毒独有的七大特点
利用DDOS攻击 网络安全公司大赚其钱
谨防小不点变种伪装成微软版本诱惑用户
通过移动存储设备传播的木马呈现上升趋势
jsp防盗链

安全防护 中的 Linux下初步后门查找


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 48 ::
收藏到网摘: n/a

 1. 帐号后门

检查/etc/passwd、/etc/shadow文件中如下帐号是否已经拥有合法登录shell、登录口令

bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、games、
gopher、ftp、nobody、xfs、named、gdm、sys、nuucp、listen

/etc/passwd文件格式如下

username : password : uid : gid : comment : home_directory : shell

建议对/etc/passwd、/etc/shadow文件做备份,保留在其他主机或可移动介质上,定期对
比,检查是否增加了异常帐号。

2. $HOME/.rhosts后门

趁系统干净的时候,记录、备份/etc/hosts.equiv和$HOME/.rhosts文件,定期扫描检查
是否增加了这类文件以及原有文件内容是否改变

3. binary木马后门

二进制木马后门是将系统二进制可执行文件替换成特洛伊(trojan)木马文件来达到放置后
门的效果。可能是获取了源代码,修改后重新编译。或者借助其他技术直接向二进制程序
文件中植入代码。

对这类后门检测的第一步是检查时间戳与校验和,假设已经对文件用类似TripWire这类工
具作了时间戳与校验和记录。如果没有使用过TripWire,用"ls -l"和"stat"命令检查时
间戳,是否有明显不协调的文件。如果存在,极可能被替换成特洛伊木马植入后门了,仔
细作进一步查证。

对于网络应用程序,运行后用netstat和lsof命令查看是否存在不正常的行为。尤其是查
看有无异常端口被打开,有无异常文件被打开。

作进一步查证时,第一步是用strings命令查找程序中有无异常字符串。第二步,如有必
要,需要将现有二进制代码与确认干净的二进制代码进行比较。

对于这类后门,重点检查这样一些程序

in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.tnamed、
in.uucpd、in.tftpd、in.fingerd、sadmind、rquotad、rpc.rusersd、rpc.sprayd、
rpc.rwalld、rpc.rstatd、rpc.rexd、rpc.ttdbserverd、rpc.cmsd、kcms_server、ufsd、
fs.auto、cachefsd、kerbd、in.lpd、gssd、dtspcd、in.comsat

/etc/init.d目录中启动脚本调用的二进制可执行程序

ANNOUNCE MOUNTFSYS PRESERVE RMTMPFILES ab2mgr
afbinit audit autofs autoinstall buildmnttab
cachefs.daemon cachefs.root cacheos cacheos.finish cron
devlinks drvconfig dtlogin inetinit inetsvc
init.dmi init.snmpdx initpcmcia keymap lp
mkdtab nfs.client nfs.server nscd pcmcia
power rootusr rpc savecore sendmail
spc standardmounts sysetup sysid.net sysid.sys
syslog ufs_quota utmpd volmgt xntpd

除了上面所列的,还要注意下面这些后门

1) login后门

如果"strings /usr/bin/login | grep crypt"有输出,很可能是木马。

2) ls、dir、vdir后门

ls、dir、vdir后门的用意在于隐藏文件和目录。如果执行这些命令时可以加"-/"选项(原
有代码中不支持这个选项),则说明已经被植入木马了。

检查/dev目录,查找是否有诸如"/dev/ptyr"之类的文件,用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有,说明已经有木马了。如果strings ls | grep "/dev/pty"有输出,或者直接
strings ls发现可疑路径和文件名,说明已经有木马。对dir、vdir也一样。

3) du后门

du后门同样是用来隐藏文件和目录的。如果命令行中执行这个命令可以加"-/"选项(原有
代码中没有这个选项),那么说明已经被植入木马了。检查/dev目录,查找是否有诸如
"/dev/ptyr"之类的文件,用"ls -l"看结果是否为

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有,说明已经有木马了。如果strings du | grep "/dev/pty"有输出,或者直接
strings du发现可疑路径和文件名,说明已经有木马。