首页/资讯中心/详情

Linux后门应急

Linux后门应急
📅 发布时间:2026/6/20 14:28:56

Linux后门应急

1、主机后门用户名称:提交格式如:flag

进来先对终端升级一下

python -c 'import pty; pty.spawn("/bin/bash")'

直接使用cat /etc/passwd 查看后面用户

image-20251015143628569

flag{backdoor}

2、主机排查项中可以发现到flag{}内以i开头的flag,如flag

我们可以使用ps -ef查看某个进程是否存在、运行命令、父进程ID等

image-20251015144731715

flag{infoFl4g}

3、主机排查发现9999端口是通过哪个配置文件如何开机启动的,如/etc/crontab则填写/etc/crontab 的md5 ,提交方式示例:flag

/etc/systemd/system 查看自启动服务的相关配置文件,打开 rc-local.service,执行了 /etc/rc.d/rc.local 文件

image-20251015155650448

解码得到
while true;do nohup nc -lvp 9999 -c "flag{infoFl4g}" 2>&1 ;sleep 1;done;

flag{cf8a978fe83579e2e20ec158524d8c06}

4、黑客3s做了记录所有用户的每次登陆的密码的手段,flag为黑客记录的登陆密码日志路径md5,提交方式示例:flag

可以在/tmp目录下面,有个隐藏的.sshlog文件

image-20251015160103098

flag{8997d5a1b8dcca5a4be75962250959f7}

5、给出使用了/bin/bash 的RCE后门进程名称+端口号 如进程名称为sshd,端口号为22,则flag

逐一排查systemctl启动配置文件存放位置
/etc/systemd/system
/usr/lib/systemd/system
/lib/systemd/system

docker-compose-app.service有个/usr/lib/python3.7/site-packages/docker/startup.sh 脚本

image-20251015160313790

image-20251015160359104

使用base64解密是Reverse Shell

flag{python38080}

6、找出开机启动的后门服务名称MD5,提交flag

使用命令查看开机自启动的服务systemctl list-unit-files --type=service --state=enabled

image-20251015160521143

flag{5213e47de16522f1dc3f9e9ecc0ab8b0}

7、渗透提权获得root目录下的flag

使用docker进行提权

image-20251015161124742

user 用户在 docker 组里面,而且 dockerroot 权限

docker run -v /:/mnt -it alpine  
chroot /mnt bashls

image-20251015161014516

flag{ATMB_root}

8、黑客3s埋了一个flag在权限维持过程中的地方,可以发现flag{}括号内的首字母是c开头,如flag

find / -type f -newermt '2024-09-24 01:30:00' ! -newermt '2024-09-24 23:31:00' 2>/dev/null|grep -v docker

cat -A /var/spool/cron/crontabs/root,发现flag,加-A 参数

flag{cr0nt4b_IRfind}

9、黑客3s做了一个root用户执行cat命令就删除文件的操作,请发现删除了什么文件将文件名作为flag提交

检测是否存在 LD_PRELOAD 劫持

image-20251015161907766

追踪一下 /bin/cat 命令strace -f -e trace=file /bin/cat

image-20251015161946575

加载了恶意的 so 文件strings 一下

image-20251015162029426

 flag{.bash_history}

10、黑客3s很执着清理痕迹,并做了一个持续删痕迹的手段,请发现手段并给出删除的完整黑客删除命令的md5,如flag

就是上面的答案

flag{rm -rf ~/.bash_history >/dev/null 2>&1}
flag{b0f531b39d88d4f603fc89bd4dd2c0aa}

11、黑客3s设置了一个万能密码后门使得这一个万能密码可以以所有用户身份登陆,也不影响原来密码使用。请发现这个万能密码,提交flag格式为flag

我们可以排查一下 /usr/lib/x86_64-linux-gnu/security/pam_unix.so

为什么要重点排查 /usr/lib/.../security/pam_unix.so

  • pam_unix.so 是 Linux 上最常见的 PAM(Pluggable Authentication Module)模块,负责处理本地账号的验证(如 loginsshdsusudo 等用到的本地密码校验)。
  • 攻击者要“记录每次登录的密码”,一个经典手法就是替换或篡改 PAM 模块(把官方的 pam_unix.so 换成带后门的版本),这样所有走 PAM 的本地认证都会被截获密码。
  • 因此一旦怀疑有“记录密码”的后门,/usr/lib/.../security/pam_unix.so 是首要排查对象:检查文件是否被替换、被注入恶意代码或是否被 LD_PRELAD/其他 hook 技术拦截。

image-20251015162304342

将这个文件下载下来进入IDA进行反编译

image-20251015162701743

flag{ATMB6666}