服务器加后门是网络安全领域中一个常见且严重的问题,后门程序通常由攻击者在获取系统控制权后植入,以便长期保持对系统的访问权限,以下是几种常见的服务器后门及其详细描述:
1、动态库模块后门
原理:动态库模块后门作为nginx的so module加载,不改变nginx程序本身。
功能:这种后门可以包括远程shell访问、socks5隧道建立、HTTP密码嗅探与记录等。
检测:可以通过查找特定的字符串特征来检测,例如/tmp/.web_sniff或pwnginx=。
2、二进制程序后门
原理:通过编译加入后门代码的nginx程序,然后替换掉目标nginx程序来加载。
功能:与动态库模块后门类似,但可能更加隐蔽,因为整个nginx程序都被替换了。
检测:需要对比nginx程序的哈希值或使用杀毒软件进行扫描。
3、Lua脚本后门
原理:利用nginx的lua-nginx-module加载恶意的lua脚本。
功能:可以执行任意系统命令、接管系统。
检测:在nginx的配置文件中查找所有content_by_lua_file、init_by_lua_file和require等关键字,并分析每个lua文件是否包含io.popen关键字。
4、Nginx Execute后门
原理:利用nginx的ngx_http_execute_module执行任意系统命令。
功能:通过特定的HTTP请求即可执行任意系统命令。
检测:查看nginx的配置文件中是否加载ngx_http_execute_module.so模块,并确认是否存在command on配置。
5、Header-Filter后门
原理:修改nginx的ngx_http_header_filter模块,检测特定cookie并反连到攻击者机器。
功能:较为隐蔽,安全运维人员不易察觉。
检测:需要深入分析nginx的源码或二进制文件,查找异常的代码逻辑。
6、Windows后门技术
隐藏、克隆账户:通过CMD命令行创建隐藏账户,并提升为管理员权限。
Shift后门:将cmd.exe拷贝覆盖sethc.exe,按5次Shift键弹出cmd窗口,以system权限执行系统命令。
启动项、计划任务:利用windows的启动项、任务计划等功能执行恶意脚本。
劫持技术:如LPK劫持,通过感染存在可执行文件的目录来激活病毒。
注册表自启动:在注册表指定键值添加新的键值类型为REG_SZ,数据项中添写需要运行程序的路径。
用户登录:修改注册表路径下的UserInitMprLogonScript键值或winlogon Userinit字段。
定时任务:使用schtasks或at命令创建定时任务。
WMI:利用WMI和Powershell命令配合实现无文件攻击。
WebShell:在指定的web服务器路径放置WebShell。
自启动服务:将自己的恶意可执行文件注册成服务或调用系统进程加载dll文件运行服务。
DLL劫持:如果在进程尝试加载DLL时没有指定绝对路径,攻击者可以控制某些目录并放入恶意DLL文件。
COM劫持:通过修改CLSID下的注册表键值实现COM对象劫持。
Bootkit MBR后门:读取主引导记录和分区表,复制恶意二进制数据到主引导扇区。
这些后门技术各有特点,但目的都是为了长期保持对服务器的访问权限,为了防范这些后门,建议采取以下措施:定期更新系统和软件补丁、使用强密码和多因素认证、限制不必要的网络访问、定期备份重要数据、使用安全审计工具监控服务器活动、及时响应安全事件等。
以上就是关于“服务器加后门”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/664099.html
微信扫一扫 