[[384750]]

本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」，作者Bypass。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)。   

在一些應(yīng)急場(chǎng)景中，我們經(jīng)常會(huì)遇到有些木馬會(huì)替換常用的系統(tǒng)命令進(jìn)行偽裝，即使我們清理了木馬，執(zhí)行ps、netstat等系統(tǒng)命令時(shí)又啟動(dòng)了木馬進(jìn)程。

這種手法相對(duì)比較隱蔽，排查起來也比較困難，本文分享兩種比較簡(jiǎn)單的排查技巧。

1、AIDE 入侵檢測(cè)

AIDE 是一款入侵檢測(cè)工具，主要用途是檢查文檔的完整性。通過構(gòu)建一個(gè)基準(zhǔn)的數(shù)據(jù)庫(kù)，保存文檔的各種屬性，一旦系統(tǒng)被入侵，可以通過對(duì)比基準(zhǔn)數(shù)據(jù)庫(kù)而獲取文件變更記錄。

(1)aide安裝配置

#直接安裝aide 
yum install aide -y 
#生產(chǎn)初始化數(shù)據(jù)庫(kù) 
sudo aide --init 
#根據(jù)配置文件命名規(guī)則生成新的數(shù)據(jù)庫(kù)文件，需要重命名，以便AIDE讀取。 
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 

(2)進(jìn)行檢測(cè)對(duì)比

sudo aide --check 

如上，通過對(duì)比可以快速發(fā)現(xiàn)系統(tǒng)命令PS被篡改。

2、RPM 檢查

通過rpm -Va來檢查已安裝的rpm包的完整性，防止rpm也被替換，可上傳一個(gè)安全干凈穩(wěn)定版本的rpm二進(jìn)制文件到服務(wù)器上進(jìn)行檢查。

如果一切均校驗(yàn)正常將不會(huì)產(chǎn)生任何輸出，如果有不一致的地方，就會(huì)顯示出來，輸出格式是8位長(zhǎng)字符串，每個(gè)字符都用以表示文件與RPM數(shù)據(jù)庫(kù)中一種屬性的比較結(jié)果 ，如果是. (點(diǎn)) 則表示測(cè)試通過。

驗(yàn)證內(nèi)容中的8個(gè)信息的具體內(nèi)容如下：

S         文件大小是否改變 
M         文件的類型或文件的權(quán)限（rwx）是否被改變 
5         文件MD5校驗(yàn)是否改變（可以看成文件內(nèi)容是否改變） 
D         設(shè)備中，從代碼是否改變 
L         文件路徑是否改變 
U         文件的屬主（所有者）是否改變 
G         文件的屬組是否改變 
T         文件的修改時(shí)間是否改變 

如上，ps命令左側(cè)顯示T，代表這個(gè)系統(tǒng)文件的修改時(shí)間被改變。