【愚公系列】2024年03月 《网络安全应急管理与技术实践》 019-网络安全应急技术与实践(主机层-后门植入监测与防范)
🏆 作者简介,愚公搬代码
🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。
🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏
🚀前言
后门植入监测与防范是指对计算机系统、网络设备等进行监测和防范,以防止后门植入和滥用的行为。
后门是指在计算机系统或软件中留下的一种特殊代码或功能,通过后门可以绕过正常的安全措施,实现对系统的远程控制、信息窃取、恶意操作等。后门植入是黑客和恶意分子常用的手段之一,他们通过植入后门来获取系统权限、窃取敏感信息、传播恶意软件等。
| 措施 | 描述 |
|---|---|
| 安全审计 | 定期对系统进行审计,查找异常和可疑代码或功能 |
| 补丁和更新 | 及时安装系统和软件的补丁和更新,修复漏洞 |
| 强化访问控制 | 限制对系统的访问权限,只允许授权用户和程序访问 |
| 安全加固 | 关闭不必要服务,设置强密码和账户锁定策略,加强防火墙等安全措施 |
| 软件验证 | 对系统中的软件进行验证,确保可信来源 |
| 安全培训 | 加强员工的安全意识和知识,培训防范后门植入 |
| 安全监测 | 设置安全监测系统,实时监测系统和网络流量 |
后门植入监测与防范是一个综合性的工作,需要结合多种手段和措施来确保系统的安全性。通过定期检查和加强安全措施,可以减少后门植入的风险,保护系统和敏感信息的安全。
🚀一、后门植入监测与防范
🔎1.后门监测
后门的建立方式多种多样,要做到全面监控难度较大,通常是从异常行为中发现后门活动的。
(1)监监控服务器监听端口
保存端口信息,可以执行如下命令
netstat -tnlp > /root/daemon old.txt
netstat -tnlp > /root/daemon new.txt
使用如下命令周期性地保存系统的监听端口信息,通过对比历史数据,来发现异常行为。
diff /root/daemon_old.txt daemon_new.txt
(2)监控进程列表:方法与端口监控类似,只需要将端口信息换成进程信息。
(3)监控异常文件:监控非nc方式上传的后门。
(4)系统日志远程存储:将所有系统日志,尤其是安全日志的syslog远程传输保存,防止黑客擦除入侵痕迹。
需要注意的是,很多后门程序可以隐藏端口和进程,或使用端口复用隐蔽行为。因此后门监测的方法不应局限于某一种,而应该根据实际情况灵活组合也可使用主机 IDS 进行监控。
🔎2.后门防范
对后门的防范可以从主机层和网络层进行,主机层主要是防止webshell的上传,以及避免后门的执行。
网络层主要采用基于白名单的边界隔离,原则上禁止从外向内的非业务端口访问,以及禁止应用服务器从内到外的主动连接。
(1)Windows 系统后门检查
系统后门的防范,主要依靠日常监控和定期安全检查。检查项包括进程、端口、启动项、重要配置文件、系统日志、安全日志等,可以制定一些检查列表和巡检方案,借助半自动化工具,做好日常的安全防护。
(2)反向连接后门检查
反向连接的后门一般会监听某个指定端口,如 nc、远程控制程序等。
排查这类后门时,需要在没有打开任何网络连接和防火墙的情况下,在命令行中输入 netstat -an 监听本地端口开放情况。查看是否有向外部发起的 TCP连接,如果存在则需要进一步定位和分析。
(3)无连接系统后门检查
如 Shift、放大镜、屏保后门,这类后门一般都会修改系统文件,如按5下Shift 键后,Windows 会运行 sethc.exe,如替换 cmd 文件的内容,就会导致后门。检测的方法一般是对照 MD5 值,如 sethc.exe(Shift 后门)正常用加密工具检测的数值是MD5:f09365c4d87098a209bd10d92e7a2bed,如果散列值发生变化则可能被植入了后门。
(4)隐藏账号后门检查
此类隐藏账号以“$”为后缀,无法通过命令行、用户组管理查看,需要手工检查注册表的 SAM 键值,确定为隐藏后门账号后,再对键值进行删除。
(5)RootKit 后门检查
RootKit 后门变种快、隐藏深,且难以彻底清除,需要借助专用的査杀工具,如 Gmer、Rootkit Unhooker 和 RKU 等。
🚀感谢:给读者的一封信
亲爱的读者,
我在这篇文章中投入了大量的心血和时间,希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验,我相信这些信息对您非常有帮助。
如果您觉得这篇文章对您有所帮助,我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担,但它会对我继续创作高质量的内容产生积极的影响。
我之所以写这篇文章,是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命,也鼓励我花更多的时间和精力创作更多有价值的内容。
如果您愿意支持我的创作,请扫描下面二维码,您的支持将不胜感激。同时,如果您有任何反馈或建议,也欢迎与我分享。
再次感谢您的阅读和支持!
最诚挚的问候, “愚公搬代码”
- 点赞
- 收藏
- 关注作者
评论(0)