木马程序

模拟木马程序病原体并让木马程序自动运行 1 模拟木马程序病原体并让木马程序自动运行 实战：黑客让脚本自动执行的3种方法： （1）、计划任务： crontab （2）、开机启动 （3）、系统命令被人替换，定一个触发事件 22.1.1 生成木马程序病原体 [root@zmedu63 ~]# vim /usr/bin/fregonnzkq #!/bin/bash touch /tmp/aaa.txt while true do echo date >> /tmp/date.txt #通过动态查看/tmp/date.txt中显示的时间，可以知道木马在实时运行 sleep 1 done [root@zmedu63 ~]# chmod +x /usr/bin/fregonnzkq 测试： [root@zmedu63 ~]# fregonnzkq & #可以执行。 [root@zmedu63 ~]# ps -axu | grep freg Warning: bad syntax, perhaps a bogus ‘-’? See /usr/share/doc/procps-3.2.8/FAQ root 4900 0.1 0.1 106152 1252 pts/1 S 16:29 0:00 /bin/bash /usr/bin/fregonnzkq [root@zmedu63 bin]# kill

rootkit后门检查工具RKHunter https://www.cnblogs.com/cp-miao/p/6141025.html ---恢复内容开始--- rkhunter简介： 中文名叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具，具有非常全面的扫描范围，除了能够检测各种已知的rootkit特征码以外，还支持端口扫描、常用程序文件的变动情况检查。 rkhunter的官方网站位于http://www.rootkit.nl/，目前最新的版本是rkhunter-1.4.2。 rootkit是什么？ rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root 权限登录到系统。 rootkit主要有两种类型：文件级别和内核级别。 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序

在网上查资料时，不知何时中招了，而且是悄无声息的，直到有很多广告之类的东西跳出来之后，我才感觉到问题的严重。于是赶紧用杀毒工具来杀，但就是杀不掉，杀了又来，而且计算机 CPU 使用率居高不下。这是啥东西，这么厉害？于是冒着风险，在网上查 spoolsv.exe ， 居然是一种延缓打印木马程序！更可气的是，和系统进程 spoolsv.exe 同名（用于将 Windows 打印机任务发送给本地打印机）！！这样一来，就多了很多不必要的麻烦事...... 关于木马程序 spoolsv.exe ，在网上有很多有关它的资料：怎样识别，怎样删除等等，我就不再细说了，我就说说我遇到的情况及补救措施。 首先，打开系统盘（我的为 C 盘,系统为windows2000），看到存在 C:\WINDOWS\system32\ spoolsv \spoolsv.exe 文件（单击右键，在属性页中可以看到“傲讯浏览器辅助工具”的字样说明），说明 中招了； 正常的打印机缓冲池文件应该是 C:\WINDOWS\ system32 \spoolsv.exe ！ 由于在正常模式下删除不了，就转到安全模式下（按F8）去删。所删的文件夹有：C: \WINDOWS\system32下的 msibm、 spoolsv、bakcfs 、msicn ；文件有：C: \WINDOWS\system32下的 wmpdrm.dll 。

a、/bin/ps,/bin/netsta程序都是1.2M的大小，显然是被人掉包了 　　b、/usr/bin/.dbus-daemon--system 进程还带了一个点，跟哪个不带点的很像，但终归是假的，你咋不给真的删掉替换呢，看来写这种程序的人法律意识很强，要不然程序推广起来了，死了 　　一大片CIA会放过他吗 　　c、/etc/rc.local权限改了，而且添加了一个开机启动项 　　d、lsattr、chattr命令删除了 　　e 、进程杀掉了立即又起来了这点很让人头痛 　　f、找到了一些最近修改的文件，显然这些都是黑客留下的 　　g、开机自动启动文件增加2个启动项 　　刚开始进程杀了又起来，文件删了又自动生成，线上环境又没有防火墙配置，无奈之下只好想了一个怪招，把/bin/bash 重命名 一下，果然流量下来了，这种杀敌1万自损8千的招果然有用。 　　其实这时候还没有找到真正的木马，但是已经有时间去分析查找 病毒 源了，这3台其中两台修改了bash名字，突然断开了，这样就登陆不了，只好重装系统了。后来这台我就慢慢查找了，差不 　　多都找到了，然后删除。这时心情大好，准备写博文记录一下，毕竟这是线上环境第一次遭遇木马。 　　大概22点的时候，博文写了一半，突然又接到故障，这次一下子又7台服务器出故障了，好心情一下子没了，原来那3台只是个开场白，真正的战斗还没有开始

介绍 当服务器被攻击后，基本都会留下后门，木马程序等，维护人员就需要找到他们并清除。 而对于木马后门，都需要有一个加载选项，例如直接以程序文件的形式运行，插入其他进程中运行，以服务的形式加载，以activex控件形式加载等。 随后木马病毒肯定会访问网络，从我们检查角度一般需要对运行的进程、启动的加载项、端口连接等方面进行。 Autoruns可以查看加载在启动、activex、explorer、logon、services等中的木马程序。 使用 打开autoruns后会看到everything栏，此栏列出了自动启动项，如下图。 木马程序是没有数字签名的，我们可以多关注其description和publisher栏，如果都为空，而又不确定是否为木马程序，则可以选中右键search online进行在线搜索，个人认为如果搜索没有相应的名称结果，则木马可能性比较大，毕竟攻击者随意为木马取个名称是搜不出的。 切换到logon栏列出了登录加载项，查看和排除方式与everything类似。 其他选项也类似，autoruns对于木马常用的加载都有列出，everything启动加载，logon登录加载，explorer windows管理器加载，ie浏览器加载，scheduled tasks定时任务加载，services服务加载，drivers设备加载等。 确认木马病毒后可右键选择删除。 总结