バックドアを再生成するには、Linuxコマンドを実行して隠しコマンドを実行します。

tag-icon tag-icon linux bash monitoring editors binary
バックドアを再生成するには、Linuxコマンドを実行して隠しコマンドを実行します。

私のCentOSサーバーが破損し、バックドアが/var/www/html/にアップロードされました。私はバックドアを削除し、バックドアを検索しました。削除されたことを確認するために、バックドアは実際に削除されましたが、「ls」「ps」の場合...どの辞書でもバックドアファイルが再生成されます。

攻撃当日 /usr/bin/ls, /usr/bin/ps... ファイルが修正されたことを確認しました。

バックドアが削除された後にバックドアを生成したプロセスを見つけるために(auditctlとausearchclear)を使用して長い監査を受けた結果は次のとおりです。

time->Sat Jan 13 17:44:37 2024
type=PROCTITLE msg=audit(1705189477.956:12083978): proctitle=726D002D69002F7661722F7777772F68746D6C2F6D61676E69746F2E706870
type=PATH msg=audit(1705189477.956:12083978): item=1 name="/var/www/html/xx.php" inode=35084690 dev=fd:00 mode=0100777 ouid=0 ogid=0 rdev=00:00 objtype=DELETE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1705189477.956:12083978): item=0 name="/var/www/html/" inode=34033743 dev=fd:00 mode=040775 ouid=995 ogid=995 rdev=00:00 objtype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1705189477.956:12083978):  cwd="/root"
type=SYSCALL msg=audit(1705189477.956:12083978): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=1e670c0 a2=0 a3=7ffcc4acfea0 items=2 ppid=8050 pid=9434 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=193704 comm="rm" exe="/usr/bin/rm" key=(null)
----
time->Sat Jan 13 17:45:07 2024
type=PROCTITLE msg=audit(1705189507.759:12083995): proctitle=6C73002D2D636F6C6F723D6175746F002F
type=PATH msg=audit(1705189507.759:12083995): item=1 name="/var/www/html/xx.php" inode=35084690 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1705189507.759:12083995): item=0 name="/var/www/html/" inode=34033743 dev=fd:00 mode=040775 ouid=995 ogid=995 rdev=00:00 objtype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1705189507.759:12083995):  cwd="/root"
type=SYSCALL msg=audit(1705189507.759:12083995): arch=c000003e syscall=2 success=yes exit=3 a0=7f22b8e630f9 a1=242 a2=1b6 a3=24 items=2 ppid=8050 pid=9465 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=193704 comm="ls" exe="/usr/bin/ls" key=(null)

Linux命令を実行してバックドアの生成に使用される実行命令を正しく監視して検索する方法や、/usr/bin/ls、/usr/bin/psファイルを修正して注入する方法があるかどうかを知りたいです。 。 ..

ベストアンサー1

おすすめ記事