1、 Linux后門N種姿勢By:adminWhiteCellClub團隊SRC負責人 1. 前言2. 后門概述及種類3. 常見后門功能4.Rootkit發(fā)現及檢測5.后續(xù)處理 Linux服務器真的安全嘛？ 真的百毒不侵？ 存在哪些誤解？ 服務器“中毒”了? 進擊的太陽城 1. 前言2. 后門概述及種類3. 常見后門功能4.Rootkit發(fā)現及檢測5.后續(xù)處理 后門到底是什么？ 常見的Linux后門有哪些? 后門程序是留在計算機系統(tǒng)中，供入 侵者通過某種特殊方式控制計算機系統(tǒng)的途徑。 1. 前言2. 后門概述及種類3. 常見后門功能4.Rootkit發(fā)現及檢測5.后續(xù)處理 內核級rootkit實現

2、原理： Linux中系統(tǒng)命令執(zhí)行的一般流程在用戶空間（user mode）工作的系統(tǒng)命令/應用程序實現某些基礎功能時會調用系統(tǒng).so文件。而這些.so文件實現的基本功能，如文 件讀寫則是通過讀取內核空間（kernelmode）的Syscall Table(系統(tǒng)調用表)中相應Syscall (系統(tǒng)調用)作用到硬件，最終完成文件讀寫的。 Rootkit篡改了Syscall Table中Syscall的內存地址，導致程序讀取修改過的Syscall地址而執(zhí)行了惡意的函數從而 實現其特殊功能和目的。 1. 前言2. 后門概述及種類3. 常見后門功能4.Rootkit發(fā)現及檢測5.后續(xù)處理 內存取證分析V

3、olatility原理示意圖 內存取證檢測： Rootkit難以被檢測，主要是因為其高度的隱匿特性，一般表現在進程、端口、內核模塊和文件等方面的隱藏。但無論怎樣隱藏，內存中一定有這些方面的蛛絲馬跡，如果我們能正常dump物理內存，并通過debug symbols. 和 kernels data structure來解析內存文件，那么就可以對系統(tǒng)當時的活動狀態(tài)有一個真實的“描繪”，再將其和直接在系統(tǒng)執(zhí)行命令輸出的“虛假”結果做對比，找出可疑的方面。 工具的局限性: 只能解決非常有針對性的問題； 使用工具需要預備很多的技術積累和安全知識 只會呈現專業(yè)結果，解決問題依然需要很多的能力和知識積累 工具

4、沒有充分考慮用戶的需求場景和用戶體驗 1. 前言2. 后門概述及種類3. 常見后門功能4.Rootkit發(fā)現及檢測5.后續(xù)處理 應急處理流程： 1. 感染后環(huán)境變得不可信 2. 最好的方法重裝系統(tǒng) 3. 不能有僥幸心理 4. 后續(xù)部署入侵檢測系統(tǒng) 參考： /papers/2854 http:/bartblaze.blogspot.jp/2015/09/notes-on- linuxxorddos.html /blog/threat- research/2015/02/anatomy_of_a_brutef.html /kernelland/linux-kernel-rootkit.php Join WhiteCellClub 加入我們 趕快