反入侵之發現後門利用mount-bind將進程和埠信息隱匿

0x00. 前言

作為一名安全工程師，日常工作中會經常遇到網站遭遇入侵，甚至被植入後門，如何去發現後門，進而對入侵進行調查取證都是一名優秀的安全工程師必備功課，本文結合實際案例介紹一下一款後門的植入技巧，以及我是如何發現它的，僅此給大家一個參考，希望給大家

日後工作帶來

0x01. 正文

今天在蜜罐環境中發現有一個奇怪的埠

一看就不合常理，沒有進程名和進程ID

使用 lsof -i:31337 竟沒發現任何信息

ps aux 也沒查到可疑進程名

lsof 和ps 都是從/proc/進程id下獲取顯示數據， 難道是/proc/進程id被調包了？

排查

於是去看一下/proc 目錄

第5列應該是0 啊，這裡怎麼是4096 ，這個進程有問題

cd 2694 目錄看看， 發現是個空目錄，這時可以確定2694 這個進程有重大嫌疑

看一下這個2694 目錄是不是被硬鏈接了 (有點懷疑入侵者使用了mount —bind 技巧)

果然是硬鏈接，和我的猜想一樣， 八成是用了mount —bind 硬鏈接了

查查當前shell進程的mountinfo，看看是不是有貓膩

cat /pro/$/mountinfo

$$ 表示當前shell進程的進程ID

這行比較關鍵：/tmp/empty /proc/2694 rw,relatime shared:1 - ext4 /dev/sda1 rw,errors=remount-ro,data=ordere

再看一下/tmp/empty

大小和/pro/2694 一樣

原來入侵者通過 mount —bind /tmp/empty /proc/2694

將後門進程(2694) 信息隱藏起來了

恢復

知道後門進程被隱藏之後，恢復也就比較簡單了

umount /proc/2694

/pro/2694 目錄下的內容又出現了

此時，再執行lsof -i:31337

發現可以發現31337 埠的信息了

來看看這個2694的進程到底是什麼

原來是nc 後門

0x02. 補充

上面的例子中我們是直接獲取/proc/$$/mountinfo 的內容，發現可疑掛載，當然直接使用mount命令也能發現可疑掛載，不過前者更加可靠

獲取當前系統掛載信息有以下方法

1）cat /proc/$$/mountinfo 獲取當前掛載信息

2）cat /proc/mounts （內核提供， 不易矇騙）

3）直接執行mount 命令

其中1) 和2）比較靠譜

3）是獲取/etc/mtab 的內容

cp /etc/mtab .

mount —bind /bin /proc/[pid]

mv . /etc/mtab

這樣的話，直接執行mount，就發現不了可以掛載，而1）和2）卻能夠發現。

0x03. 總結**

文本所介紹的這款後門植入技巧相對比較簡單，因為它沒有完全隱藏自身，比如通過netstat -an 還是可以發現其部分行蹤（因為netstat 不需要/proc/pid下面的信息支撐），更高級的後門，是能夠騙過netstat的，當然這是後話，後續我會給大家介紹更高級的後門隱匿技巧。

*本文作者：bgusko63190，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！