linux CentOS检查见后门程序的shell

# CentOS 检查后门程序的 Shell 脚本

以下是一个用于检查 CentOS 系统中潜在后门程序的 Bash Shell 脚本，包含多项安全检查：

```bash

#!/bin/bash

# 检查后门程序的脚本 - 适用于CentOS/RHEL系统

# 需要root权限运行

echo "=== CentOS 后门检查脚本 ==="

echo "开始时间: $(date)"

echo ""

# 1. 检查异常用户

echo "===== 用户检查 ====="

echo "1.1 检查UID为0的非root用户:"

awk -F: '($3 == 0 && $1 != "root") {print}' /etc/passwd

echo ""

echo "1.2 检查空密码账户:"

awk -F: '($2 == "") {print $1}' /etc/shadow

echo ""

echo "1.3 检查最近创建的用户:"

awk -F: '{print $1,$3,$7}' /etc/passwd | sort -nk2 | tail -n 5

echo ""

echo "1.4 检查sudo权限用户:"

grep -Po '^sudo.+:\K.*#39; /etc/group

# 2. 检查异常进程

echo ""

echo "===== 进程检查 ====="

echo "2.1 CPU占用前10的进程:"

ps -eo pid,user,%cpu,%mem,cmd --sort=-%cpu | head -n 11

echo ""

echo "2.2 内存占用前10的进程:"

ps -eo pid,user,%cpu,%mem,cmd --sort=-%mem | head -n 11

echo ""

echo "2.3 隐藏进程检查:"

ps -ef | awk '{print $2}' | sort -n | uniq > /tmp/ps_all.txt

ls /proc | grep -E '^[0-9]+#39; | sort -n > /tmp/proc_all.txt

diff /tmp/ps_all.txt /tmp/proc_all.txt | grep '^>' | awk '{print "隐藏进程PID: "$2}'

rm -f /tmp/ps_all.txt /tmp/proc_all.txt

# 3. 检查网络连接

echo ""

echo "===== 网络检查 ====="

echo "3.1 异常外连:"

netstat -antp | grep ESTABLISHED | awk '{print $5,$7}' | sort | uniq -c | sort -nr

echo ""

echo "3.2 监听端口检查:"

netstat -tulnp | grep LISTEN

echo ""

echo "3.3 检查异常DNS解析:"

cat /etc/resolv.conf

grep "nameserver" /etc/resolv.conf | grep -vE "8.8.8.8|8.8.4.4|114.114.114.114"

# 4. 检查启动项

echo ""

echo "===== 启动项检查 ====="

echo "4.1 检查rc.local:"

cat /etc/rc.local | grep -v "^#"

echo ""

echo "4.2 检查crontab:"

crontab -l

ls /etc/cron* | xargs -i sh -c 'echo "{}:"; cat {}'

ls /var/spool/cron/ | xargs -i sh -c 'echo "/var/spool/cron/{}:"; cat /var/spool/cron/{}'

echo ""

echo "4.3 检查init.d服务:"

ls -la /etc/init.d/ | grep -E "\.sh$|\.py#34;

# 5. 检查文件系统

echo ""

echo "===== 文件检查 ====="

echo "5.1 检查最近3天修改的文件:"

find / -type f -mtime -3 -print | grep -Ev "proc|sys|run|dev"

echo ""

echo "5.2 检查SUID/SGID文件:"

find / -perm -4000 -type f -print 2>/dev/null

find / -perm -2000 -type f -print 2>/dev/null

echo ""

echo "5.3 检查隐藏文件:"

find / -name "..*" -print 2>/dev/null

find / -name "...*" -print 2>/dev/null

# 6. 检查rootkit

echo ""

echo "===== Rootkit检查 ====="

echo "6.1 检查常用rootkit检测工具是否安装:"

which chkrootkit &>/dev/null && echo "chkrootkit已安装" || echo "chkrootkit未安装 - 建议安装: yum install chkrootkit"

which rkhunter &>/dev/null && echo "rkhunter已安装" || echo "rkhunter未安装 - 建议安装: yum install rkhunter"

echo ""

echo "6.2 检查LD_PRELOAD:"

echo $LD_PRELOAD

echo ""

echo "6.3 检查内核模块:"

lsmod | grep -Ev "nf_conntrack|ip_tables|xt_state|xt_tcpudp|ip6_tables"

# 7. 检查日志

echo ""

echo "===== 日志检查 ====="

echo "7.1 检查SSH登录成功:"

grep "Accepted" /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

echo ""

echo "7.2 检查SSH登录失败:"

grep "Failed" /var/log/secure* | awk '{print $1,$2,$3,$9,$11}' | sort | uniq -c | sort -nr

echo ""

echo "7.3 检查sudo使用记录:"

grep "sudo:" /var/log/secure* | grep -v "not allowed"

echo ""

echo "=== 检查完成 ==="

echo "结束时间: $(date)"

```

## 使用说明

1. 将上述脚本保存为 `check_backdoor.sh`

2. 添加执行权限：

```bash

chmod +x check_backdoor.sh

```

3. 使用root权限运行：

```bash

sudo ./check_backdoor.sh > backdoor_check_report.txt

```

4. 检查生成的报告文件 `backdoor_check_report.txt`

## 脚本功能说明

1. **用户检查**：查找特权账户、空密码账户和新创建账户

2. **进程检查**：识别高资源占用进程和隐藏进程

3. **网络检查**：检测异常连接和监听端口

4. **启动项检查**：审查所有自动启动的服务和任务

5. **文件检查**：查找可疑的修改文件、特权文件和隐藏文件

6. **Rootkit检查**：检测常见的rootkit迹象

7. **日志检查**：分析安全相关日志

## 注意事项

1. 脚本需要root权限才能获取完整信息

2. 部分检查可能会产生大量输出，建议重定向到文件

3. 某些正常系统进程可能会被标记，需要人工判断

4. 建议在干净系统上先运行一次，建立基线参考

5. 可以配合chkrootkit和rkhunter等专业工具使用

对于生产环境，建议定期运行此类检查脚本并分析结果。