163、应急响应——后门攻击检测指南&Rootkit&内存马&权限维持

后门查杀主要查杀：

• web后门

  • 常规后门
  • 内存马
    java内存马分类：主要是servlet-api类：Servlet型、Filter型、Listener型。
    

  php内存马，先杀进程，再删后门就行了。

• 主机后门

• 权限维持后门

应急响应工具包合集

Windows—后门-常规&权限维持&内存马

常规后门（MSF和CS后门）查杀

MSF和CS后门查杀，主要看网络连接。这个查杀包括采用云函数、域前置技术的后门。

• 采用云函数、域前置技术的后门只会隐藏真实IP，后门控制端的ip被拉黑的话，红队仍然会掉权限，但是红队真实IP还是可以与被害主机进行通信。
• 云函数、域前置隐藏的是控制端连接ip地址，主要是为了防溯源。

推荐火绒剑（还有PChunter），查看主机网络连接，火绒剑会显示exe文件的安全状态，还要观察连接状态、地址。

火绒剑还可以监控系统，一旦通过后门向主机发送命令，这个监控功能会实时显示。

对于常规后门，找到后门，结束进程，删除后门~

权限维持后门查杀

权限维持技术：

• 自启动项

  

• 隐藏账户
  PChunter就可以看到隐藏账户，直接删除即可~
  

• 映像劫持
  所谓映像劫持，简单来说，就是改快捷键的指向，例如本来notepad是打开记事本，更改注册表，使得notepad这个命令指向计算器，这就是一种映像劫持。PChunter可以检测映像劫持，删除就好。
  

• 屏保&登录
  

  登录的话，就是只要有人远程登录这台主机，就会自动运行c://shell.exe

  

Linux—后门-常规&权限维持&内存马

常规（MSF&CS）后门查杀

netstat -anpt # 查看网络连接
kill 22786 # 结束可疑进程
rm -rf xxx # 删除可疑文件

netstat参数：

• -a：显示所有连线中的Socket；
• -n：直接使用IP地址，而不通过域名服务器;
• -p：显示正在使用Socket的程序识别码和程序名称。
• -t：显示TCP传输协议的连线状况。

rootkit后门查杀

netstat -anpt抓取不了rootkit后门的网络连接，抓包工具也抓不了。因为rootkit运行在linux的内核态，抓包工具只能抓用户态的网络连接。

windows下也有rootkit，但是公开的资料很少。

检测工具：rkhunter、Gscan、chkrootkit

尽管有这么多工具，但是也很难检测到。

内存马查杀

干货 | 冰蝎、哥斯拉 内存马应急排查方式汇总

浅谈冰蝎、哥斯拉内存马排查思路