关于SSH后门木马查杀,那SSH协议其实它是一个加密的网络传输协议,通常咱们使用它作为Linux管理使用,那它用来传输命令界面和远程执行命令,也就是咱们现在看到的这个界面,通常计算机被入侵之后,如果这个计算机是暴露在外网的,或者是横向打穿了某一台服务器,以另一台服务器作为跳板跳到其他服务器上。一般来说,通过SSH登陆会非常的方便操作命令这个时候是不是就有后门的诞生了。
比如我现在想要登录这台服务器,我就有账号密码,那看一下咱们现在这里有什么账户,只有一个whale Labe,这个账户就是咱们目前登录的,那攻击者新创建一个账户可不可能,那是可以的,比如我现在创建一个叫hack,现在新建了一个账户,现在看不到,那这是第一种看到账户的方法。来看一下第二种,看这里边有两个账户,其中是whale label和hack,hack我其实没有设置密码,这里就不设置了。我给大家说的是这个文件里可以看到所有的账户 Linux是通过读取这个文件找到账户的,所以所有的账户必须在passwd里边。如果计算机多出来的用户,它一定在这里仔细排查这些账户,如果不是公司使用的账户,那么及时和运维确认,看一下普及一下后边的一个小知识。
咱们可以看到后边有一些东西,那这都是做什么的,看bin,这也是咱们最常见的bin/bash,就是咱们的这现在的命令操作这块,它通过这个bash去执行你的命令和脚本,那你登录的时候其实进入执行的程序,其实用户空间就叫做bin。当然还有一些其他的第二个bin files,这个就是不可登录的账户,比如这个账户它虽然存在,但是以这个为后缀的是不能登录的,可以看看最近的登录记录命令为last,看有无可以人员的登录,然后对比下bin目录下的bash有无被替换,然后再看下sshd的进程有无向外自动连接之类的,如果还是找不到服务器中的木马后门的话可以向网站漏洞修复服务商SINE安全寻求技术支持。
