网站首页 > 技术教程 正文
以下是在CentOS系统上检测潜在后门程序的完整Shell命令集合,按检查类别组织:
1. 检查异常用户和登录
bash
复制
# 检查/etc/passwd中的异常用户
awk -F: '($3 == 0) {print}' /etc/passwd
# 检查空密码账户
awk -F: '($2 == "") {print $1}' /etc/shadow
# 查看最近登录记录
last -n 20
# 检查当前登录用户
who -a
# 检查失败的登录尝试
lastb | head -n 20
# 检查sudoers文件修改
ls -lt /etc/sudoers /etc/sudoers.d/*2. 检查异常进程
bash
复制
# 查看所有进程的完整命令行
ps auxfww
# 查看网络连接的进程
netstat -tulpan
# 或使用ss命令
ss -tulpan
# 检查隐藏进程
ps -ef | awk '{print $2}' | sort -n | uniq -c | awk '$1>1'
# 检查异常的进程树
pstree -apnh
# 检查CPU占用高的进程
top -b -n 1 | head -n 203. 检查定时任务
bash
复制
# 系统级定时任务
ls -la /etc/cron* /var/spool/cron
# 查看所有用户的crontab
for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done
# 检查最近修改的定时任务
find /etc/cron* /var/spool/cron -type f -mtime -7 -ls4. 检查异常文件
bash
复制
# 查找最近3天内修改的文件
find / -type f -mtime -3 -ls | grep -vE "/proc/|/sys/|/dev/|/run/"
# 查找SUID/SGID文件
find / -type f \( -perm -4000 -o -perm -2000 \) -exec ls -la {} \;
# 查找可写的系统文件
find / -path /proc -prune -o -type f -perm -o+w -exec ls -la {} \;
# 检查/tmp和/var/tmp异常文件
ls -la /tmp /var/tmp5. 检查网络连接和后门
bash
复制
# 检查异常网络连接
lsof -i -nP
# 检查隐藏的TCP/UDP端口
netstat -nap | grep -i listen
ss -lntup
# 检查异常的DNS查询
cat /etc/resolv.conf
cat /etc/hosts
# 检查iptables/nftables规则
iptables -L -n -v
nft list ruleset6. 检查系统服务
bash
复制
# 查看所有服务状态
systemctl list-units --type=service --all
# 检查自启动服务
systemctl list-unit-files --state=enabled
# 检查最近修改的服务文件
find /etc/systemd/system /usr/lib/systemd/system -type f -mtime -7 -ls7. 检查内核模块
bash
复制
# 查看已加载的内核模块
lsmod
# 检查异常内核模块
find /lib/modules/$(uname -r) -type f -name "*.ko" | xargs ls -la8. 检查Rootkit
bash
复制
# 使用rkhunter检查(需安装)
rkhunter --check --sk
# 使用chkrootkit检查(需安装)
chkrootkit
# 检查LD_PRELOAD劫持
echo $LD_PRELOAD
grep -r "LD_PRELOAD" /etc/ /home/ /root/9. 检查SSH后门
bash
复制
# 检查SSH authorized_keys文件
find / -name authorized_keys -exec ls -la {} \; -exec cat {} \;
# 检查SSH配置文件修改
ls -lt /etc/ssh/sshd_config
grep -i "PermitRootLogin\|PasswordAuthentication" /etc/ssh/sshd_config
# 检查~/.ssh目录权限
find /home /root -name .ssh -type d -exec ls -ld {} \;10. 自动化检查脚本
可以创建包含以下内容的检查脚本:
bash
复制
#!/bin/bash
echo "=== 安全检查开始 ==="
date
echo -e "\n### 用户检查 ###"
awk -F: '($3 == 0) {print}' /etc/passwd
echo -e "\n### 进程检查 ###"
ps auxfww
echo -e "\n### 网络检查 ###"
netstat -tulpan
echo -e "\n### 定时任务检查 ###"
ls -la /etc/cron* /var/spool/cron
echo -e "\n=== 安全检查结束 ==="注意事项
- 建议在干净的系统中运行这些命令,避免检查工具本身被篡改
- 对于生产环境,最好使用Live CD启动后进行检查
- 发现可疑项目时,不要立即删除,先备份证据
- 检查完毕后应考虑重装系统以确保安全
这些命令组合可以帮助您全面检查CentOS系统中可能存在的后门程序。根据实际情况,您可能需要调整命令参数或添加更多特定的检查项。
- 上一篇: 网络安全工程师演示:黑客是如何使用Nmap网络扫描工具的?
- 下一篇:已经是最后一篇了
猜你喜欢
- 2025-06-19 网络安全工程师演示:黑客是如何使用Nmap网络扫描工具的?
- 2025-06-19 Linux中ftp服务修改默认21端口等(linux修改ftp配置文件)
- 2025-06-19 Linux系统下使用Iptables配置端口转发,运维实战收藏!
- 2025-06-19 谈谈TCP和UDP源端口的确定(tcp和udp的端口号相同吗)
- 2025-06-19 Linux 系统 通过端口号找到对应的服务及相应安装位置
- 2025-06-19 快速查找NAS未占用端口!Docker端口秒级排查+可视化占坑双杀技
- 2025-06-19 【知识杂谈#2】如何查看Linux的(本地与公网)IP地址与SSH端口号
- 2025-06-19 如何在Linux中查询 DNS 记录,这三个命令可谓是最常用、最经典的
欢迎 你 发表评论:
- 最近发表
-
- linux CentOS检查见后门程序的shell
- 网络安全工程师演示:黑客是如何使用Nmap网络扫描工具的?
- Linux中ftp服务修改默认21端口等(linux修改ftp配置文件)
- Linux系统下使用Iptables配置端口转发,运维实战收藏!
- 谈谈TCP和UDP源端口的确定(tcp和udp的端口号相同吗)
- Linux 系统 通过端口号找到对应的服务及相应安装位置
- 快速查找NAS未占用端口!Docker端口秒级排查+可视化占坑双杀技
- 【知识杂谈#2】如何查看Linux的(本地与公网)IP地址与SSH端口号
- 如何在Linux中查询 DNS 记录,这三个命令可谓是最常用、最经典的
- 【Linux系统编程】特殊进程之守护进程
- 标签列表
-
- 下划线是什么 (87)
- 精美网站 (58)
- qq登录界面 (90)
- nginx 命令 (82)
- nginx .http (73)
- nginx lua (70)
- nginx 重定向 (68)
- Nginx超时 (65)
- nginx 监控 (57)
- odbc (59)
- rar密码破解工具 (62)
- annotation (71)
- 红黑树 (57)
- 智力题 (62)
- php空间申请 (61)
- 按键精灵 注册码 (69)
- 软件测试报告 (59)
- ntcreatefile (64)
- 闪动文字 (56)
- guid (66)
- abap (63)
- mpeg 2 (65)
- column (63)
- dreamweaver教程 (57)
- excel行列转换 (56)
本文暂时没有评论,来添加一个吧(●'◡'●)