Linux黑客入侵痕迹排查工具

admin
admin
admin
0
文章
0
评论
2026-01-28 17:41:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍Linux_checklist.sh脚本,用于快速排查Linux系统入侵痕迹。核心检查项包括检测网卡嗅探、无文件攻击、系统命令替换、SSH公钥后门及恶意定时任务等。脚本覆盖系统资源、网络连接、进程、账号权限、持久化、文件完整性及日志分析七大维度,能有效发现挖矿木马和Rootkit,建议在授权环境中使用。 综合评分: 85 文章分类: 应急响应,安全工具

cover_image

Linux黑客入侵痕迹排查工具

黑白之道

2026年1月28日 09:18 山东

工具介绍

一个用于快速检查 Linux 系统常见安全与运行情况的脚本:Linux_checklist.sh。

主要检查项

一、检查网卡是否在偷偷抓包(嗅探内网密码)。 二、检查内存中有进程在跑,但对应的磁盘文件已经被删除了(/proc/*/exe -> deleted)。这是挖矿木马和 Rootkit 最爱用的“无文件攻击”手段。 三、通过 rpm -V 检查 ls, ps, netstat 等命令是否被替换了(防止黑客修改命令来隐藏自己)。 四、扫描所有用户的 .ssh/authorized_keys,看有没有被植入未知的免密登录公钥。 五、检查定时任务里有没有 bash -i, nc, curl 等连接外网的恶意命令。

详细检查清单

  1. 系统资源 (是否有挖矿迹象) CPU/内存占用:列出 Top 5 进程,判断是否有异常的高资源占用(如挖矿程序) 磁盘空间:检查磁盘是否被日志或垃圾文件填满
  2. 网络连接 (是否有非法后门) 混杂模式 (Promiscuous):检测网卡是否处于监听模式 DNS/Hosts:检查 DNS 是否被劫持,Hosts 文件是否有恶意重定向 监听端口:列出所有开放的端口,一眼看出有没有不该开的高位端口 外部连接:统计服务器正在连接哪些外部 IP(Top 10),发现是否有向 C2 服务器回连的数据
  3. 进程分析 (是否有恶意程序) 内存中已删除文件:(同上文重点项,捕捉无文件落地木马) 高资源进程:CPU 和内存占用最高的 5 个进程详情
  4. 账号与权限 (是否有未授权账号) 特权用户:检查除了 root 以外,是否还有 UID=0 的“超级用户” 影子文件:检查 /etc/shadow,看哪些账户是可以登录的 Sudo 权限:检查谁拥有 ALL=(ALL) 的超级管理员权限 SSH 公钥:遍历 /root 和 /home 下所有用户的公钥文件 SSH 劫持:检查是否存在 sshrc 文件(登录时自动触发恶意脚本)
  5. 持久化与启动项 (病毒是否会重启自启) 定时任务 (Crontab): 检查 /etc/crontab 和 /etc/cron.d/ 遍历所有用户的 Crontab 任务 特征匹配:自动扫描任务中是否包含 wget, curl, nc 等下载或连接命令 开机启动: 检查 Systemd 中启用的服务 检查 /etc/rc.local 中是否藏有恶意启动脚本
  6. 文件完整性 (是否被植入 Rootkit) 二进制校验:利用包管理器 (RPM) 校验系统核心命令 (ls, ps, top, login, sshd 等) 的哈希值 SUID 提权文件:扫描具有 SUID 权限的异常文件(普通用户运行即变 Root) 临时目录扫描:检查 /tmp 和 /var/tmp 下是否有 .sh, .py, .elf 等可执行脚本(黑客常在此存放工具) 文件属性锁定:检查关键文件是否被 chattr +i 锁定(导致无法修改或删除)
  7. 日志与痕迹 (黑客干了什么) 暴力破解:统计 /var/log/secure 或 auth.log 中登录失败次数最多的 IP 成功登录:查看最近谁成功登录了,IP 是哪里的 账号变动:查看是否有新建用户 (useradd) 或删除用户 (userdel) 的记录 历史命令:扫描 root 用户的 .bash_history,查找是否有 wget (下载木马)、tar (打包数据)、passwd (改密码) 等敏感操作。

安全与合规

  • 脚本会导出敏感信息,仅在授权环境运行并妥善保管输出文件。

项目地址

https://github.com/HuyaThomas/Linux_checklist

文章来源:HACK之道

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑白之道 《Linux黑客入侵痕迹排查工具》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0