反入侵之发现后门利用mount-bind将进程和端口信息隐匿

0x00. 前言

作为一名安全工程师,日常工作中会经常遇到网站遭遇入侵,甚至被植入后门,如何去发现后门,进而对入侵进行调查取证都是一名优秀的安全工程师必备功课,本文结合实际案例介绍一下一款后门的植入技巧,以及我是如何发现它的,仅此给大家一个参考,希望给大家日后工作带来帮助。

0x01. 正文

今天在蜜罐环境中发现有一个奇怪的端口

一看就不合常理,没有进程名和进程ID

使用 lsof -i:31337 竟没发现任何信息

ps aux 也没查到可疑进程名

lsof 和ps 都是从/proc/进程id下获取显示数据, 难道是/proc/进程id被调包了?

排查

于是去看一下/proc 目录

第5列应该是0 啊,这里怎么是4096 ,这个进程有问题

cd 2694 目录看看, 发现是个空目录,这时可以确定2694 这个进程有重大嫌疑

看一下这个2694 目录是不是被硬链接了 (有点怀疑入侵者使用了mount —bind 技巧)

果然是硬链接,和我的猜想一样, 八成是用了mount —bind 硬链接了

查查当前shell进程的mountinfo,看看是不是有猫腻

cat /pro/$/mountinfo

$$ 表示当前shell进程的进程ID

这行比较关键:/tmp/empty /proc/2694 rw,relatime shared:1 - ext4 /dev/sda1 rw,errors=remount-ro,data=ordere

再看一下/tmp/empty

大小和/pro/2694 一样

原来入侵者通过 mount —bind /tmp/empty /proc/2694

将后门进程(2694) 信息隐藏起来了

恢复

知道后门进程被隐藏之后,恢复也就比较简单了

umount /proc/2694

/pro/2694 目录下的内容又出现了

此时,再执行lsof -i:31337

发现可以发现31337 端口的信息了

来看看这个2694的进程到底是什么

原来是nc 后门

0x02. 补充

上面的例子中我们是直接获取/proc/$$/mountinfo 的内容,发现可疑挂载,当然直接使用mount命令也能发现可疑挂载,不过前者更加可靠

获取当前系统挂载信息有以下方法

1)cat /proc/$$/mountinfo 获取当前挂载信息 2)cat /proc/mounts (内核提供, 不易蒙骗) 3)直接执行mount 命令

其中1) 和2)比较靠谱

3)是获取/etc/mtab 的内容

cp /etc/mtab . mount —bind /bin /proc/[pid] mv . /etc/mtab

这样的话,直接执行mount,就发现不了可以挂载,而1)和2)却能够发现。

0x03. 总结**

文本所介绍的这款后门植入技巧相对比较简单,因为它没有完全隐藏自身,比如通过netstat -an 还是可以发现其部分行踪(因为netstat 不需要/proc/pid下面的信息支撑),更高级的后门,是能够骗过netstat的,当然这是后话,后续我会给大家介绍更高级的后门隐匿技巧。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据

Kafka详细的设计和生态系统

Kafka 的核心是经纪人,主题,日志,分区和集群。核心也包括像 MirrorMaker 这样的相关工具。前面提到的是 Kafka,因为它存在于 Apache ...

1.1K10
来自专栏技巅

linux内核崩溃问题排查过程总结

57940
来自专栏FreeBuf

Web开发者安全速查表

想要开发出一个安全的、健壮的Web应用其实是非常困难的,如果你觉得这实现起来非常简单的话,那么你一定是一个X炸天的程序猿,要么你就是在白日做梦…… 写在前面的话...

25490
来自专栏猫哥学前班

猫哥网络编程系列:详解 BAT 面试题

从产品上线前的接口开发和调试,到上线后的 bug 定位、性能优化,网络编程知识贯穿着一个互联网产品的整个生命周期。不论你是前后端的开发岗位,还是 SQA、运维等...

479120
来自专栏FreeBuf

DNS污染事件跟踪:为什么.cn和.org域名逃过一劫

关于中国境内用户访问.com 和.net 域名被解析到65.49.2.178 一事我又有新发现,我发现了为什么.cn 和.org 的域名没有受到影响指向65.4...

73760
来自专栏数据和云

Linux系统被入侵后处理经历

春节将至,让安全伴你行。网络安全,从我做起,没有绝对的安全,只有尽可能减少攻击面,提供系统防护能。 背景 操作系统:Ubuntu12.04_x64 运行业务:公...

46470
来自专栏玄魂工作室

CTF实战9 XSS跨站脚本漏洞

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

17030
来自专栏黑白安全

黑客技术?没你想象的那么难!——dns劫持篇

在网络中,机器之间只认识IP地址,机器之间最终都要通过IP来互相访问。但是为了方便记忆,可以为IP地址设置一个对应的域名,通过访问域名,就可以找到对应IP地址的...

2.9K30
来自专栏乐享123

How to Improve Performance Your Cmd by Parallel

14230
来自专栏Java帮帮-微信公众号-技术文章全总结

Java微信支付【面试+工作】

Java微信支付【面试+工作】 微信支付文档上有刷卡支付,扫码支付,公众号支付,APP支付等各种支付手段。本次就微信内打开的网页支付为例子,用java进行实现一...

70350

扫码关注云+社区

领取腾讯云代金券