很多服务器被入侵后的排查关于配置文件的检查没有进项详细的介绍,今天给大家带来环境变量配置文件的检查,那我列出来的这些配置文件在应急响应的过程,大家要注意,这里边的任何一条命令都有可能是木马下载的命令,在这个排查的过程当中一定要仔细看看这些文件用于设置环境变量或者启动程序,每次Linux登录或者切换用户都会出发。所以导致这些文件其实是一个非常非常高危的文件。
看一下这里,我点了一个SSH随时登录,那看这4个文件都被执行了,这里边输出的是我的EQ语句,哪能输出这个echo语句。说明是不是我能执行任何的sh语句,这里写一个木马SH,木马是不是就被执行了,你只要登录木马就会被执行。那之前咱们排查了那么久,杀了那么久,发现重新SSH登录一下,木马后门他又活了,那是相当气人。导致又被反复篡改和入侵,一般这些黑客都是用的一些cs木马和反向后门。
第二个,通过切换用户也可以触发,看一下我切换root。其实不光root用户随便用户都会被触发,我在切换的时候唯有lap两个被触发了,一个是他本地的配置,还有是个全局的配置。我们最后一个来讲一下这个文件默认系统里没有的配置文件,是一个系统环境变量,比如你输入了一个vim编辑文本的命令就会直接触发木马后门的加载与运行,而且还是免杀的,一定要对所有的配置文件以及进程详情进行排查。