本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。
在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。
这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。
1、AIDE 入侵检测
AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据库而获取文件变更记录。
(1)aide安装配置
- #直接安装aide
- yum install aide -y
- #生产初始化数据库
- sudo aide --init
- #根据配置文件命名规则生成新的数据库文件,需要重命名,以便AIDE读取。
- sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
(2)进行检测对比
- sudo aide --check
如上,通过对比可以快速发现系统命令PS被篡改。
2、RPM 检查
通过rpm -Va来检查已安装的rpm包的完整性,防止rpm也被替换,可上传一个安全干净稳定版本的rpm二进制文件到服务器上进行检查。
如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。
验证内容中的8个信息的具体内容如下:
- S 文件大小是否改变
- M 文件的类型或文件的权限(rwx)是否被改变
- 5 文件MD5校验是否改变(可以看成文件内容是否改变)
- D 设备中,从代码是否改变
- L 文件路径是否改变
- U 文件的属主(所有者)是否改变
- G 文件的属组是否改变
- T 文件的修改时间是否改变
如上,ps命令左侧显示T,代表这个系统文件的修改时间被改变。
端点路由(Endpoint Routing)最早出现在ASP.NET Core2.2,在ASP.NET Core3.0提升...
目录中出现 jsconfig.json 文件表明该目录是 JavaScript 项目的根目录。 Json 文...
通过ImageMagickObject的identify获取图片的信息,在命令行下好用,但是放到程序...
前言 静态文件(如 HTML、CSS、图像和 JavaScript)等是Web程序的重要组成部分。...
博主最近在做一个个人的博客网站,准备用 thymeleaf 实现一个动态加载一二级文章...
本文转载自微信公众号「三太子敖丙」,作者三太子敖丙。转载本文请联系三太子敖...
详解JSP中使用过滤器进行内容编码的解决办法 问题 当通过JSP页面,向数据库中插...
一、GIF图 二、前台代码 // 调用方法 hotlineLine(); // 定时刷新 setInterval(f...
MySQL的binlog相信大家都有所耳闻,但是可能没有真正日常使用过。 因此,本文结...
为什么我们需要它 不得不说,在知道这个命令的时,以及之后的使用中,我都超级热...