使用 find 命令搜索非标准目录中的可疑二进制文件 且修改时间大于2024-12-20
root@oscar:~# find / -type f -executable -not -path "/bin/*" -not -path "/usr/*" -not -path "/sbin/*" -newermt 2024-12-20 2>/dev/null
/etc/grub.d/01_password
/etc/grub.d/10_linux
/opt/auth_proxy
/etc/grub.d/是 GRUB 引导加载程序的配置脚本目录10_linux通常负责加载 Linux 内核 所以基本可以排除上面两个
/opt一般是第三方程序的安装目录,所以这个可疑程序就是auth_proxy
利用 strings 命令进行提取 含有 / 的字符串。一般文件都会与这个有关
root@oscar:~# strings /opt/auth_proxy | grep "/"
/lib64/ld-linux-x86-64.so.2
touch /etc/.shadow_auth
/etc/.shadow_auth
查看系统日志即可
root@oscar:~# strings /var/log/auth.log.1 | grep "auth_proxy"
Dec 21 10:32:45 server auth_proxy: touch /etc/.shadow_auth
Dec 21 10:32:45 server auth_proxy: Probando creaci
Dec 21 10:32:45 server auth_proxy: touch /etc/.shadow_auth
Dec 21 10:32:45 server auth_proxy: Probando creaci
Dec 21 10:32:45 server auth_proxy: touch /etc/.shadow_auth
Dec 21 10:32:45 server auth_proxy: Probando creaci
touch
上面执行 strings /opt/auth_proxy | grep "/" 时就给出了这个命令
我们在 /var/log/auth.log.1 里面发现了痕迹,但因为日志文件的轮转机制,所以其实是日志文件 /var/log/auth.log 这里面的内容
root@oscar:~# stat -c "%a" /etc/.shadow_auth
600
600