【愚公系列】《网络安全应急管理与技术实践》 019-网络安全应急技术与实践（主机层-后门植入监测与防范）

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

后门植入监测与防范是指对计算机系统、网络设备等进行监测和防范，以防止后门植入和滥用的行为。

后门是指在计算机系统或软件中留下的一种特殊代码或功能，通过后门可以绕过正常的安全措施，实现对系统的远程控制、信息窃取、恶意操作等。后门植入是黑客和恶意分子常用的手段之一，他们通过植入后门来获取系统权限、窃取敏感信息、传播恶意软件等。

后门植入监测与防范是一个综合性的工作，需要结合多种手段和措施来确保系统的安全性。通过定期检查和加强安全措施，可以减少后门植入的风险，保护系统和敏感信息的安全。

🚀一、后门植入监测与防范

🔎1.后门监测

后门的建立方式多种多样，要做到全面监控难度较大，通常是从异常行为中发现后门活动的。

(1)监监控服务器监听端口

保存端口信息，可以执行如下命令

netstat -tnlp > /root/daemon old.txt
netstat -tnlp > /root/daemon new.txt

使用如下命令周期性地保存系统的监听端口信息，通过对比历史数据，来发现异常行为。

diff /root/daemon_old.txt daemon_new.txt

(2)监控进程列表：方法与端口监控类似，只需要将端口信息换成进程信息。

(3)监控异常文件：监控非nc方式上传的后门。

(4)系统日志远程存储：将所有系统日志，尤其是安全日志的syslog远程传输保存，防止黑客擦除入侵痕迹。

需要注意的是，很多后门程序可以隐藏端口和进程，或使用端口复用隐蔽行为。因此后门监测的方法不应局限于某一种，而应该根据实际情况灵活组合也可使用主机 IDS 进行监控。

🔎2.后门防范

对后门的防范可以从主机层和网络层进行，主机层主要是防止webshell的上传，以及避免后门的执行。

网络层主要采用基于白名单的边界隔离，原则上禁止从外向内的非业务端口访问，以及禁止应用服务器从内到外的主动连接。

(1)Windows 系统后门检查

系统后门的防范，主要依靠日常监控和定期安全检查。检查项包括进程、端口、启动项、重要配置文件、系统日志、安全日志等，可以制定一些检查列表和巡检方案，借助半自动化工具，做好日常的安全防护。

(2)反向连接后门检查

反向连接的后门一般会监听某个指定端口，如 nc、远程控制程序等。

排查这类后门时，需要在没有打开任何网络连接和防火墙的情况下，在命令行中输入 netstat -an 监听本地端口开放情况。查看是否有向外部发起的 TCP连接，如果存在则需要进一步定位和分析。

(3)无连接系统后门检查

如 Shift、放大镜、屏保后门，这类后门一般都会修改系统文件，如按5下Shift 键后，Windows 会运行 sethc.exe,如替换 cmd 文件的内容，就会导致后门。检测的方法一般是对照 MD5 值，如 sethc.exe(Shift 后门)正常用加密工具检测的数值是MD5:f09365c4d87098a209bd10d92e7a2bed，如果散列值发生变化则可能被植入了后门。

(4)隐藏账号后门检查

此类隐藏账号以“$”为后缀，无法通过命令行、用户组管理查看，需要手工检查注册表的 SAM 键值，确定为隐藏后门账号后，再对键值进行删除。

(5)RootKit 后门检查

RootKit 后门变种快、隐藏深，且难以彻底清除，需要借助专用的査杀工具,如 Gmer、Rootkit Unhooker 和 RKU 等。