Linux应急Rootkit后门查杀&&病毒查杀软件

于 2025-07-16 15:03:35 发布
阅读量933 收藏 16
点赞数 15
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chinese_cabbage0/article/details/149398903

1. RKHunter(Rootkit Hunter)

作用:
检测rootkit、后门程序和可疑文件,通过校验和验证系统命令的完整性

使用命令:

sudo rkhunter --check        # 执行完整系统扫描
sudo rkhunter --update       # 更新特征数据库
sudo rkhunter --propupd      # 更新文件属性数据库

下载地址:
https://rkhunter.sourceforge.net

优点:

  • 轻量级(仅Perl脚本)

  • 检测超过200种rootkit特征

  • 支持自动邮件报警

  • 每日自动扫描任务配置简单

2. chkrootkit

作用:
检测常见rootkit和系统后门,包括隐藏进程、内核模块恶意修改等

使用命令:

sudo chkrootkit            # 基本扫描
sudo chkrootkit -q         # 安静模式(仅显示警告)
sudo chkrootkit -x         # 专家模式(显示详细信息)

下载地址:
chkrootkit -- locally checks for signs of a rootkit

优点:

  • 检测60+种已知rootkit

  • 无需安装即可运行

  • 支持检测wtmp/utmp日志篡改

  • 内存占用极低

3. unhide

作用:
检测隐藏进程、TCP/UDP端口和文件系统隐藏技术

使用命令:

unhide proc         
xing.yu.CTF
关注
网络安全——应急响应之Linux入侵排查
CoffeMilk的博客
11-13 1197
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
163、应急响应——后门攻击检测指南&Rootkit&内存马&权限维持
qq_55202378的博客
03-25 1815
后门查杀主要查杀:web后门ServletFilterListenerphp内存马,先杀进程,再删后门就行了。主机后门权限维持后门。
Linux下python版后门智能查杀脚本
11-13
这款查杀程序采用插件化实现,可以对新型的web后门添加自定义的查杀插件,现有的10余款插件已经能够查杀目前常见的大部分web后门,不过要注意的是现有的插件大多数都是查杀PHP后门的,asp及aspx不在覆盖范围,jsp的插件较少,因为当初写这个程序是为了解决linux下的webshell查杀问题。
linux后门查杀工具付费,linux下python版webshell后门查杀工具
weixin_35725310的博客
05-10 162
使用说明:1.查杀指定路径:pythonwebshell.py 路径2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = [‘(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0...
Linux权限维持-后门篇
最新发布
qq_45694932的博客
06-13 172
将nologin程序替换为bash,很多时候应急人员查看passwd,发现账户对应的shell为nologin认为就是系统的账号且这个账号是不能远程登陆的或者是登陆之后没有shell的,可能就认为这个账号是安全的,所以我们就可以将nologin设置成bash,并且修改这个账号的密码,如系统自带的backup账号就是一个很好用账户。vim安装时默认安装了当前服务器的python版本的扩展,利用该扩展,可以用vim的扩展pyfile来执行python脚本。排查:检查/etc/passwd文件是否有异常。
linux后门查杀工具付费,查杀linux后门跑虚拟货币程序.md
weixin_27785375的博客
05-10 126
## 缘由某台服务器CPU异常, 4核心CPU使用 3个核心 使用top 查看看不到那个程序使用了CPU### 分析1. top 命令后输入小写c 看到一个命令在使用CPU 杀掉后马上又起来了, 怀疑已经安装了后门程序去除非木马运行2. 删除了木马后又自动生成了新的木马, 怀疑部分命令已经被劫持故意隐藏木马和触发木马运行3. 发现部分命令属性(lsattr /usr/bin/ps)都带**i*...
linux后门查杀工具,几款Web后门查杀扫描工具 | 厘米天空
weixin_33347102的博客
05-05 1540
我们从网上下载web源码的时候有时会不小心下到带后门的程序,可以使用以下介绍的几款Webshell查杀工具来检测一下,软件查后门需多方对比,有能力请手动验证。资源来源于loc。一、D盾_Web查杀软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。引擎特别针对一句话后门,变量函数后门,${}执行 、preg_replace执行、call_user_func、file...
Linux服务器各种后门查杀
有勇气的牛排博客
03-22 7523
hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了。
RootkitRevealer:一款高效的后门查杀工具
综上所述,RootkitRevealer是一个强大的后门查杀工具,它能够在操作系统中揭露隐藏的Rootkit后门,帮助用户维护系统的安全与稳定。然而,它的使用并不是万无一失的,需要专业知识的支持,并且应与常规的系统维护和...
Rootkit Unhooker3.31中文版:病毒查杀利器
Rootkit是一类特殊的恶意软件,它的特点是隐藏自己以及系统中的其他恶意组件,从而使得病毒、木马或黑客后门更难以被常规的杀毒软件检测到。Rootkit通常会替换或挂钩系统核心功能,来实现其隐藏机制。 ### Rootkit...
Linux服务器后门自动化查杀教程
weixin_33827965的博客
11-15 913
一、说明 如果出现文件上传漏洞和命令执行类漏洞(包括命令注入、缓冲区溢出、反序列化等)都会让人担心,系统是否系统已被上传webshell甚至植入木马程序。如果依靠人工排查,一是工作量大二是需要一定程度的技术知识和业务知识才能判断什么是正常什么是异常。工作量大决定排查工作不可能由个别具有技术知识和业务知识的人来完成工作而需要其他人员参与,而如果这些没有“一定程度的技术知识和业务知识”的人员参与基本必...
Linux系统木马后门查杀方法详解
01-09
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:   一、Web Server(以Nginx为例)   1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)   2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)   3、path_info漏洞修正:   在nginx配置文件中增加: if ($request_filename ~* (.*).php) { set $php_url $1;          }
linux+后门+检查工具,Linux后门入侵检测工具.doc
weixin_34932795的博客
05-05 548
Linux后门入侵检测工具Linux后门入侵检测工具安全运维之:Linux后门入侵检测工具,附bash漏洞最终解决方法推荐:10年技术力作:《高性能Linux服务器构建实战Ⅱ》全网发行,附试读章节和全书实例源码下载!一、rootkit简介rootkitLinux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检...
linux 系统后门检测工具,Linux系统的各种后门和日志工具详细介绍[2]
weixin_31704137的博客
05-08 432
chfn 提升本地普通用户权限的程序 运行chfn 在它提示输入新的用户名时 如果用户输入rookit密码 他的权限就被提升为root chsh 提升本地用户权限的程序 运行chsh 在它提示输入新的shell时 如果用户输入rootkit密码 他的权限就被提升为root passwd 和上面两个程chfn 提升本地普通用户权限的程序运行chfn在它提示输入新的用户名时如果用户输入rookit密码...
linux查杀web后门webshell
it知识分享 free for nothing..
09-01 1514
linux查杀web后门webshell
Linux常见系统后门排查命令
热门推荐
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
Linux常见后门(非常详细)从零基础到精通,收藏这篇就够了!
Libra1313的博客
05-08 791
所以,别光看表面功夫,还得深入骨髓,看系统里有没有关键文件被动过,安全防护措施是不是形同虚设。SSH,远程登录的瑞士军刀,但用不好,分分钟变潘多拉魔盒。直接往PAM配置文件里塞点私货,比如,创建一个"万能密码",从此畅通无阻。本来你没权限访问的文件,有了它,也能横着走。这玩意儿就像个"安全卫士",不关掉它,你的PAM后门就是个摆设。Rootkit,恶意软件中的"变形金刚",能把自己伪装成系统的一部分,让你防不胜防。不然,等着被"请君入瓮"吧!,这玩意儿就像Linux的灵魂翻译官,一旦被篡改,后果不堪设想。
Linux主机排查
永不垂头的博客
01-14 1264
文章目录Linux主机排查一、网络连接二、进程信息三、历史命令四、后门账号五、计划任务六、登录日志七、自启动项八、我的公众号 Linux主机排查 一、网络连接 执行netstat -anp 命令查看当前网络连接。 a. 主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击(常见如22,445,3389,6379等端口)。 b. 主机和外网ip已经建立连接可通过查询ip所属地,或者进一步通过威胁情报(https://x.threatbook.cn/等 。 c. 如果无法直接从网络连接情况判定是否异
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值