search
【思路分享】如何在Win下查殺Linux惡意文件

【思路分享】如何在Win下查殺Linux惡意文件

在對linux系統應急處理時,常需要查殺系統中是否存在惡意文件,但純手工檢查的話,難免會有遺漏,雖然在linux系統中也有一些專門門的查殺工具,但終究維護的人少,效果也不是非常明顯,但如果先使用windows平台下的殺毒軟體,去查殺linux文件的話,那效果是會強上一個等級,下面我們就來介紹下如何在windows下查殺linux系統文件的方法,提供一種思路:

1.linux開啟nfs,共享 『/ 『 或 『web目錄』 #(根據需要);

2.windows掛載 linux共享 ;

3.開啟殺毒軟體,查殺掛載盤。

1.安裝軟體包:

apt-get install portmap/rpcbind <客戶端和伺服器的安裝

apt-get install nfs-kernel-server <or #apt-get install nfs-user-server (安裝后才有此文件/etc/exports)

apt-get install nfs-common

mkdir -p /home/share <建立共享目錄

chmod 777 /home/share

vi /etc/export <配置文件

add

/home/share 192.168.1.122/24(rw)

/etc/init.d/rpcbind restart

/etc/init.d/nfs-kernel-server restart <重啟服務

root@kali:/var/www# rpcinfo -p (如果以下服務均開啟,則成功

查看共享目錄文件:

root@kali:~/webshell#

showmount -e 127.0.0.1

showmount -a (顯示所有連接到此nfs客戶端與相關目錄信息)

5.客戶端連接測試:

mount 127.0.0.1:/var/www /home/nfs1

6.客戶端斷開nfs連接:

umount /home/nfs1 (本地的掛載目錄)

在旗艦版和企業版,(專業版無此功能)添加或刪除程序中開啟 nfs服務后,可以命令行中進行掛載:

卸載或更改程序->打開或關閉windows的功能-> 安裝nfs服務

1)showmount

用法:

執行showmount命令行將顯示到指定nfs伺服器的所有mount信息。

-e 顯示指定nfs伺服器上的所有文件系統。

-a 顯示每個已掛載的nfs伺服器上的所有網路文件系統 (NFS) 客戶端和目錄。

-d 顯示當前NFS客戶端掛載的nfs伺服器上的所有目錄。

2)mount

3)umount

當我們在windows系統中成功掛載了linux系統中要檢測的文件之後,可以使用在windows平台下常用的檢測軟體來對目標進行檢測。

如下圖所示,是在win中成功掛載linux nfs出來的/var/www路徑下的文件:

通過實際對win下常用的幾個檢測webshell軟體進行了實例測試,發現D盾web查殺是其中檢測效果比較好的一款軟體,查殺率高達63%,評分5星(大家如果有更好的查殺軟體,歡迎推薦)。

打開D盾web查殺,指定掛載的H盤目錄,對其文件進行查殺,效果如下:

寫在最後的話:

本文章旨在拋磚引玉,發散思維,發散 。。。 發散。。。 發。。。

*本文作者:noosec,轉載請註明來自Freebuf.COM

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23269次喜歡
留言回覆
回覆
精彩推薦