使用Linux系统命令对后门端口进行查杀

第一步,打开网络拓扑,启动实验虚拟机,查看虚拟机IP地址:

Centos Linux

使用Linux系统命令对后门端口进行查杀_第1张图片  

第二步,进入靶机服务器CentOS Linux,调用实验环境。使用docker images命令查看靶机服务器上的Docker镜像环境,找到本次实验使用的镜像centos5,使用命令启动centos5镜像的靶机环境:

docker images

docker run --privileged=true –it centos5 /bin/bash

 

第三步,查看当前虚拟环境的系统,及其所处的目录:

1)使用lsb_release –a命令查看系统ID信息,返回报错,说明这是一个CentOS系统,使用uname –m命令查看系统位数为64位:

lsb_release -a

uname -m

使用Linux系统命令对后门端口进行查杀_第2张图片  

2)使用pwd命令查看当前所在的目录,输入cd /root进入root目录,使用ls命令列出root目录下的文件,存在名为start.sh的启动脚本:

pwd

cd /root

ls

使用Linux系统命令对后门端口进行查杀_第3张图片  

第四步,启动虚拟环境中的木马程序:

./start.sh

使用Linux系统命令对后门端口进行查杀_第4张图片  

第五步,查看系统的进程信息:

1)使用ps –aux查看所有进程,经过排查我们发现了一个可疑进程,进程PID为33:

ps -aux

使用Linux系统命令对后门端口进行查杀_第5张图片  

2)使用kill 33命令结束可疑进程:

kill 33

 

第六步,确定可疑进程为木马程序:

1)使用ps –aux命令查看所有进程,准备排查其他进程时,发现刚才的可疑进程仍在运行,进程的PID为107649:

ps -aux

使用Linux系统命令对后门端口进行查杀_第6张图片  

2)使用kill -9 107649强制结束进程:

kill -9 [木马进程PID]

使用Linux系统命令对后门端口进行查杀_第7张图片  

3)再次使用ps –aux命令查看所有进程,该进程依旧没有被结束掉,仍在系统中运行。这时候基本可以判定,这是一个顽固的木马程序。木马程序很可能是要进行网络通信的:

ps -aux

使用Linux系统命令对后门端口进行查杀_第8张图片  

第七步,查看本机Socket连接找到可疑的端口:

使用netstat –a命令查看本机的所有Socket连接,连接数量较多,经过排查后,找到一个不常用的端口4257,这个端口侦听在本机的所有接口,并且允许任意的远程连接进行连接:

netstat -a

使用Linux系统命令对后门端口进行查杀_第9张图片  

第八步,根据端口号找到占用的进程ID:

使用lsof –i:4257命令,发现4257端口被进程ID为57704的程序占用:

lsof -i:4257

 

第九步,确定木马进程所使用的端口号:

使用ps –aux查看所有进程,发现进程ID为57704的进程kill不掉的木马进程。由于木马无法kill掉,而且木马还在进行Socket连接,传输服务器的敏感信息,所以我们使用防火墙iptables设置规则,让木马离线无法进行远程通信:

ps -aux

 

第十步,配置iptables防火墙使木马离线:

使用命令iptables –t filter –A OUTPUT –m state –state NEW –j DROP通过iptables在output链上做限制,将从出口带宽状态为new的全部丢弃掉。使用ping命令测试无法正常使用,此时服务器已经离线:

iptables –t filter –A OUTPUT –m state –state NEW –j DROP

ping 8.8.8.8

 

第十一步,找到木马程序的父进程,分别结束掉父进程和木马进程:

1)使用ps –ef命令发现可疑进程的父进程PIID为26,并且还发现可疑进程一直在不断的变换自己的进程PID:

ps -ef

使用Linux系统命令对后门端口进行查杀_第10张图片  

2)再次使用ps –ef命令查看所有进程,找到可疑进程的父进程:

ps -ef

使用Linux系统命令对后门端口进行查杀_第11张图片  

3)使用kill 26结束木马父进程:

kill [木马父进程PID]

ps -ef

使用Linux系统命令对后门端口进行查杀_第12张图片  

4)结束失去父进程的木马僵尸进程:

kill [木马僵尸进程PID]

 

子进程是木马程序的核心功能,一般负责侦听一个端口,反弹一个Shell实现远程操作的核心逻辑,父进程通常负责子进程的安全,其核心功能是时刻监测子进程是否被杀,如果被杀就重新启动,或者延时重新启动。

第十二步,系统加固,找到木马进程及其父进程的路径:

使用./start.sh命令重启木马环境,使用ps –ef命令发现木马进程的父进程还有父进程,接着分别找到木马进程的父进程及其父进程的父进程的路径:

./start.sh

使用Linux系统命令对后门端口进行查杀_第13张图片  

ps -ef

使用Linux系统命令对后门端口进行查杀_第14张图片  

使用Linux系统命令对后门端口进行查杀_第15张图片  

2)使用ls /usr/bin/vifa命令和ls  /usr/bin/virson命令分别查看木马程序和守护程序:

ls /usr/bin/virfa

ls /usr/bin/virson

使用Linux系统命令对后门端口进行查杀_第16张图片  

第十三步,找到木马程序病原体:

根据我们的经验,通常木马程序的守护程序都是用Shell脚本写的,而木马程序都是用其他语言写好编译成二进制文件的,至于为什么要这样做,是因为简单快速,所以我们可以阅读守护程序的代码。

使用cat /usr/bin/virfa命令查看守护程序的代码,经过阅读找到了木马程序的病原体文件是/opt/virsou.sh。

cat /usr/bin/virfa

使用Linux系统命令对后门端口进行查杀_第17张图片  

第十四步,依次查杀木马进程的父进程的父进程、木马进程的父进程、木马进程:

1)使用kill 23命令查杀木马进程的父进程的父进程:

kill [木马父进程的父进程PID]

使用Linux系统命令对后门端口进行查杀_第18张图片  

2)使用kill 72713命令和kill 72726命令分别查杀木马进程的父进程和木马进程:

kill [木马父进程PID]

kill [木马进程PID]

使用Linux系统命令对后门端口进行查杀_第19张图片  

第十五步,依次删除木马程序,木马程序的守护程序,木马程序的源文件:

1)使用rm –rf /usr/bin/virfa命令和rm –rf /usr/bin/virson命令依次删除木马程序的守护程序和木马程序,并使用ls /usr/bin | grep vir*命令查看确认已经全部删除:

rm -rf /usr/bin/virfa

rm -rf /usr/bin/virson

ls /usr/bin | grep vir*

使用Linux系统命令对后门端口进行查杀_第20张图片  

2)使用ls /opt/virsou.sh命令查看木马程序的病原体文件,使用rm –rf /opt/virson命令删除木马程序的病原体文件。

ls /opt/virsou.sh

rm -rf /opt/virsou.sh

 

实验结束,关闭虚拟机。

你可能感兴趣的:(笔记,网络安全,linux,运维,服务器)