电脑后门检测

篇一：浅谈linux被入侵后,如何检查后门

浅谈linux被入侵后，如何检查后门 首先先用iptraf查下，如果没装的运行yum install iptraf装下，看里面是不是UDP包发的很多，如果是，基本都被人装了后门

1. 检查帐户

# less /etc/passwd

# grep :0: /etc/passwd（检查是否产生了新用户，和UID、GID是0的用户）

# ls -l /etc/passwd（查看文件修改日期）

# awk -F: ?$3= =0 {print $1}? /etc/passwd（查看是否存在特权用户）

# awk -F: ?length($2)= =0 {print $1}? /etc/shadow（查看是否存在空口令帐户）

2. 检查日志

# last（查看正常情况下登录到本机的所有用户的历史记录）

注意”entered promiscuous mode”

注意错误信息

注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (>

20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3. 检查进程

# ps -aux（注意UID是0的）

# lsof -p pid（察看该进程所打开端口和文件）

# cat /etc/inetd.conf | grep -v “^#”（检查守护进程）

检查隐藏进程

# ps -ef|awk ?{print }?|sort -n|uniq >1

# ls /porc |sort -n|uniq >2

# diff 1 2

4. 检查文件

# find / -uid 0 –perm -4000 –print

# find / -size +10000k –print

# find / -name “…” –print

# find / -name “.. ” –print

# find / -name “. ” –print

# find / -name ” ” –print

注意SUID文件，可疑大于10M和空格文件

# find / -name core -exec ls -l {} ;（检查系统中的core文件）

检查系统文件完整性

# rpm –qf /bin/ls

# rpm -qf /bin/login

# md5sum –b 文件名

# md5sum –t 文件名

5. 检查RPM

# rpm –Va

输出格式：

S – File size differs

M – Mode differs (permissions)

5 – MD5 sum differs

D – Device number mismatch

L – readLink path mismatch

U – user ownership differs

G – group ownership differs

T – modification time differs

注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin

6. 检查网络

# ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer） # lsof –i

# netstat –nap（察看不正常打开的TCP/UDP端口)

# arp –a

7. 检查计划任务

注意root和UID是0的schedule

# crontab –u root –l

# cat /etc/crontab

# ls /etc/cron.*

8. 检查后门

# cat /etc/crontab

# ls /var/spool/cron/

# cat /etc/rc.d/rc.local

# ls /etc/rc.d

# ls /etc/rc3.d

# find / -type f -perm 4000

9. 检查内核模块

# lsmod

10. 检查系统服务

# chkconfig

# rpcinfo -p（查看RPC服务）

11. 检查rootkit

# rkhunter -c

# chkrootkit -q

篇二：后门的分类

后门的分类

后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：

前面讲了这么多理论知识是不是觉得有点头大了呢？下面我们来讲讲一些常见的后门工具吧

1.网页后门

此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，热缦衷诜浅A餍械腁SP、cgi脚本后门等。 典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。

2.线程插入后门

利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。

典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor（首款进程插入后门）也属于进程插入类后门。

3.扩展后门

所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学

者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。

典型后门程序：Wineggdroup shell

4.C/S后门

这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光.

典型后门程序：ICMP Door

5.root kit

好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用

户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。 典型后门程序：hacker defender

以上是我在网上搜集的前人总结，值得指出的是这些分类还不够完善，还没有真正指出后门的强大。

下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。

6 BootRoot

通过在Windows内核启动过程中额外插入第三方代码的技术项目，即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术，并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”，即“Boot Rootkit”。

Mebroot是如何实现MBR感染与运作的

Mebroot比Windows还要早一步启动，然后将自身驱动代码插入内核执行，从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程，为系统打开后门并下载木马运行。在这非传统的渗透思路下，反Rootkit工具是无法根除它的。

看到以上这么多可怕的后门知识是不是对这些有所了解了呢？

下面我们来谈谈如何检测后门

1.简单手工检测法

凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。

用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现 notepad

System

smss.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

spoolsv.exe

这类进程出现2个那你的电脑很可能已经中毒了。

如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。

2.拥有反向连接的后门检测

这类后门一般会监听某个指定断口，要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。

3.无连接的系统后门

如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe（shift后门）正常用加密工具检测的数值是 MD5 : f09365c4d87098a209bd10d92e7a2bed

如果数值不等于这个就说明被篡改过了。

4.CA后门

CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。

5.对于ICMP这种后门

这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。

6.对于rootkit

篇三：教你检测下载的东西有没被放后门

此种方法是一种后门检测方法来的，可以检测出你下载的东西有没给放后门（即木马之类的东西），但是，最好要在虚拟机上检测了！

1.首先关闭系统中所有可能连接的程序（包含杀软或酷狗之类东西。）

2.打开命令提示符，输入命令：netstat -an>c:＼test＼net1.txt （将程序运行前的状态保存到c:＼test＼net1.txt的记事本中）

3.运行你所测试的程序（如果是远控或盗号木马等就生成运行木马文件，因情况而定），然后命令提示符输入命令：netstat -an>c:＼test＼net2.txt （原理同上。）

4.对比两个文件之间的数据，如果有多余的网络连接说明存在后门。

比如：你运行qq盗号木马前检测你的收信空间的IP是192.168.1.1，你运行后在net2.txt文件中除了192.168.1.1之外多出了192.168.1.2，那么192.168.1.2就是软件作者留下的后门。

常搞黑软的朋友，可以学习下了，后门检测是一门很好的技术来的！

《电脑后门检测》由：免费论文网互联网用户整理提供；
链接地址：http://www.csmayi.cn/meiwen/28954.html
转载请保留,谢谢!

• 上一篇：从零开始学化妆眼影
• 下一篇：coreldraw12免费版