Linux后门N种姿势 By:fuckadmin WhiteCellClub团队SRC负责人 1.前言 2.后门概述及种类 3.常见后门功能 4.Rootkit发现及检测 5.后续处理 •Linux服务器真的安全嘛？ •真的百毒不侵？ •存在哪些误解？ 服务器“中毒”了? • • 进 击 的 太 阳 城 1.前言 2.后门概述及种类 3.常见后门功能 4.Rootkit发现及检测 5.后续处理 •后门到底是什么？ •常见的Linux后门有哪些? 后门程序是留在计算机系统中，供入 侵者通过某种特殊方式控制计算机系统的途径。 1.前言 2.后门概述及种类 3.常见后门功能 4.Rootkit发现及检测 5.后续处理 内核级rootkit实现原理： Linux中系统命令执行的一般流程 在用户空间（user mode）工作的 系统命令/应用程序实现某些基础 功能时会调用系统.so文件。而这 些.so文件实现的基本功能，如文 件读写则是通过读取内核空间（kernel mode） 的Syscall Table(系统调用表)中相应Syscall (系统调用)作用到硬件，最终完成文件读写的。 Rootkit篡改了Syscall Table中Syscall的内存地址，导致 程序读取修改过的Syscall地址而执行了恶意的函数从而 实现其特殊功能和目的。 1.前言 2.后门概述及种类 3.常见后门功能 4.Rootkit发现及检测 5.后续处理 内存取证分析Volatility原理示意图 内存取证检测： Rootkit难以被检测，主要是因为其高度的隐匿特性，一般 表现在进程、端口、内核模块和文件等方面的隐藏。但无论 怎样隐藏，内存中一定有这些方面的蛛丝马迹，如果我们能 正常dump物理内存，并通过debug symbols.和kernel`s data structure来解析内存文件，那么就可以对系统当时的 活动状态有一个真实的“描绘”，再将其和直接在系统执行 命令输出的“虚假”结果做对比，找出可疑的方面。 工具的局限性: •只能解决非常有针对性的问题； •使用工具需要预备很多的技术积累 和安全知识 •只会呈现专业结果，解决问题依然 需要很多的能力和知识积累 •工具没有充分考虑用户的需求场景 和用户体验 1.前言 2.后门概述及种类 3.常见后门功能 4.Rootkit发现及检测 5.后续处理 应急处理流程： 1.感染后环境变得不可信 2.最好的方法重装系统 3.不能有侥幸心理 4.后续部署入侵检测系统