========================================== 进程检查 - 2025年 12月 20日 星期六 15:05:07 CST ========================================== [*] 检查高CPU占用进程 (>70%)... USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 151052 3.7 0.5 18120 10860 ? Ss 15:05 0:00 sshd-session: root [priv] root 1905 2.6 19.1 5185744 378840 ? Ssl 04:44 16:38 /usr/bin/gnome-shell root 1416 0.7 1.6 2277036 32668 ? Ssl 04:43 4:21 /usr/sbin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock root 1688 0.6 3.5 384224 71056 tty2 Sl+ 04:43 3:48 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/0/gdm/Xauthority -nolisten tcp -background none -noreset -keeptty -novtswitch -verbose 3 root 67 0.1 0.0 0 0 ? S 04:43 1:13 [kswapd0] root 2115 0.1 0.6 464920 12280 ? Sl 04:44 0:54 /usr/bin/vmtoolsd -n vmusr --blockFd 3 root 655 0.1 0.2 252928 4312 ? Ssl 04:43 0:47 /usr/bin/vmtoolsd root 818 0.1 0.8 1872564 17484 ? Ssl 04:43 0:37 /usr/bin/containerd root 1 0.0 0.4 23680 8716 ? Ss 04:43 0:26 /sbin/init splash root 126590 0.0 0.0 0 0 ? I 14:06 0:02 [kworker/1:0-ata_sff] root 126592 0.0 0.0 0 0 ? I 14:07 0:02 [kworker/2:0-ata_sff] root 134489 0.0 0.0 0 0 ? I 14:28 0:01 [kworker/1:2-events] root 3327 0.0 1.3 811632 27416 ? Ssl 04:56 0:19 /usr/libexec/gnome-terminal-server root 1662 0.0 0.4 94752 8048 ? S<sl 04:43 0:18 /usr/bin/pipewire [*] 检查高内存占用进程 (>50%)... USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1905 2.6 19.1 5185744 378840 ? Ssl 04:44 16:38 /usr/bin/gnome-shell root 1688 0.6 3.5 384224 71056 tty2 Sl+ 04:43 3:48 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/0/gdm/Xauthority (输出过长已截断)
========================================== 网络连接检查 - 2025年 12月 20日 星期六 15:05:17 CST ========================================== [*] 检查监听端口... Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:34687 0.0.0.0:* LISTEN 818/containerd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4731/sshd: /usr/sbi tcp6 0 0 :::1716 :::* LISTEN 2054/kdeconnectd tcp6 0 0 :::22 :::* LISTEN 4731/sshd: /usr/sbi udp 0 0 0.0.0.0:53575 0.0.0.0:* 2054/kdeconnectd udp 0 0 0.0.0.0:33390 0.0.0.0:* 2857/python3 udp 0 0 10.76.244.41:3702 0.0.0.0:* 2857/python3 udp 0 0 239.255.255.250:3702 0.0.0.0:* 2857/python3 udp 0 0 172.18.0.1:3702 0.0.0.0:* 2857/python3 udp 0 0 239.255.255.250:3702 0.0.0.0:* 2857/python3 udp 0 0 172.17.0.1:3702 0.0.0.0:* 2857/python3 udp 0 0 239.255.255.250:3702 0.0.0.0:* 2857/python3 udp 0 0 0.0.0.0:58041 0.0.0.0:* 2857/python3 udp 0 0 0.0.0.0:46812 0.0.0.0:* 2054/kdeconnectd udp 0 0 0.0.0.0:60284 0.0.0.0:* 2857/python3 udp 0 0 0.0.0.0:35876 0.0.0.0:* 2054/kdeconnectd udp6 0 0 :::53800 :::* 2054/kdeconnectd (输出过长已截断)
========================================== 后门特征检测 - 2025年 12月 20日 星期六 15:05:34 CST ========================================== [*] 检测Meterpreter特征... [*] 检查默认端口 (4444, 4445, 5555, 6666)... [*] 检查Meterpreter进程名称... [*] 检查反向Shell命令... [*] 检测Cobalt Strike特征... [*] 检查CS默认端口 (50050)... [*] 检查Beacon进程... [*] 检测WebShell文件... >> [!] [*] 扫描Web目录中的可疑PHP/JSP/ASPX文件... [*] 检测挖矿程序... [*] 检查挖矿进程名... [*] 检查矿池连接... [*] 检查stratum协议... [*] 检测Rootkit特征... >> [!] [*] 检查/dev/shm中的可疑文件... >> [!] [!] 可疑 - /dev/shm中的文件: 总计 4 >> [!] [!] 可疑 - /dev/shm中的文件: -rw-r--r-- 1 root root 32 11月17日 16:29 sem.haveged_sem [*] 检查/tmp中的隐藏可执行文件... [*] 检查LD_PRELOAD劫持... [*] 检测持久化机制... >> [!] [*] 检查crontab中的可疑任务... [*] 检查系统级crontab... [*] 检查systemd服务... [*] 检查.bashrc/.bash_profile持久化... [*] 检测SSH后门... [*] 检查authorized_keys... >> [!] [!] 可疑 - 可疑SSH密钥: command="git-shell -c "$SSH_ORIGINAL_COMMAND"" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA... >> [!] [*] 检查SSH配置异常... [!] 警告 - Root登录已启用 [*] 信息 - 密码认证已启用 [*] 检测进程注入特征... >> [!] [*] 检查可疑的内存映射... >> [!] [*] 检测异常网络监听... [*] 非标准端口监听... >> [!] [!] 可疑 - 非标准端口监听: :::1716 (2054/kdeconnectd) ========================================== 后门特征检测完成 时间: 2025年 12月 20日 星期六 15:05:35 CST ==========================================
========================================== 用户权限安全检测 - 2025年 12月 20日 星期六 15:05:43 CST ========================================== [*] 检测影子用户(UID=0的非root用户)... [+] 正常 - root 用户 >> [!] [*] 检测可疑的系统用户... >> [!] [!] 可疑 - 系统用户有登录shell: sync (UID:4, Shell:/bin/sync) >> [!] [!] 可疑 - 系统用户有登录shell: postgres (UID:116, Shell:/bin/bash) [*] 检测最近创建的用户(7天内)... [*] 未找到用户操作日志文件 [*] 检测空密码用户... [*] 检测sudo权限用户... [*] /etc/sudoers 中的配置: root ALL=(ALL:ALL) ALL %sudo ALL=(ALL:ALL) ALL [*] /etc/sudoers.d/ 中的配置: 文件: /etc/sudoers.d/kali-grant-root %kali-trusted ALL=(ALL:ALL) NOPASSWD: ALL 文件: /etc/sudoers.d/ospd-openvas _gvm ALL = NOPASSWD: /usr/sbin/openvas 文件: /etc/sudoers.d/README [*] sudo/wheel 组成员: kali >> [!] [*] 检测异常用户home目录... >> [!] [*] 检测异常的用户shell... [*] 检测用户SSH配置... [*] 检查用户 .ssh 的SSH配置: /root/.ssh [*] 检测最近登录活动... [*] 最近10次成功登录: >> [!] [*] 最近10次失败登录: [*] 检测当前登录用户... 15:05:43 up 10:21, 3 users, load average: 0.09, 0.15, 0.24 USER TTY 来自 LOGIN@ IDLE JCPU PCPU WHAT root 10.76.244.252 15:05 40:35 0.00s 0.01s sshd-session: root [priv] root tty2 - 1711月25 32days 3:48 0.06s /usr/libexec/gnome-session-binary root - 1711月25 40:35 0.00s 2.29s /usr/lib/systemd/systemd --user [*] 检测密码策略... [*] 密码过期策略: PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_WARN_AGE 7 [*] PAM密码策略: >> [!] [*] 检测组权限异常... [*] 敏感组的成员: sudo: kali adm: kali [*] 检测用户文件完整性... /etc/passwd MD5: 71190de96bfaee222362a1da2f0f22bd /etc/shadow MD5: 441a3e7a87a3206f52bea4e32ad98e24 /etc/passwd 权限: 644 /etc/shadow 权限: 640 >> [!] [!] 警告 - /etc/shadow 权限异常(应为000/400/600) [*] 检测用户crontab任务... [*] 检测历史命令中的敏感操作... [*] 检查 root 的历史命令: /root/.zsh_history >> [!] [!] 可疑命令: chmod 777 rip-hg.pl >> [!] [!] 可疑命令: chmod 777 rip-svn.pl >> [!] [!] 可疑命令: curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpgcurl -fsSL https://download.docker.com/ (输出过长已截断)
/tmp/irt_check_user_security.sh: 行 167: last: 未找到命令
==========================================
持久化机制全面检测 - 2025年 12月 20日 星期六 15:05:54 CST
==========================================
[1] 检测 Alias 命令劫持后门...
------------------------------------------------------------
[*] 检查系统级别的alias配置...
[*] 检查用户级别的alias配置...
用户: root, 文件: .bashrc
>> [!] [!] 可疑 - alias ls='ls --color=auto'
alias grep='grep --color=auto'
alias fgrep='fgrep --color=auto'
alias egrep='egrep --color=auto'
alias diff='diff --color=auto'
alias ip='ip --color=auto'
alias ll='ls -l'
alias la='ls -A'
alias l='ls -CF'
用户: root, 文件: .zshrc
alias history="history 0"
>> [!] [!] 可疑 - alias ls='ls --color=auto'
alias grep='grep --color=auto'
alias fgrep='fgrep --color=auto'
alias egrep='egrep --color=auto'
alias diff='diff --color=auto'
alias ip='ip --color=auto'
alias ll='ls -l'
alias la='ls -A'
alias l='ls -CF'
用户: kali, 文件: .bashrc
>> [!] [!] 可疑 - alias ls='ls --color=auto'
alias grep='grep --color=auto'
alias fgrep='fgrep --color=auto'
alias egrep='egrep --color=auto'
alias diff='diff --color=auto'
alias ip='ip --color=auto'
alias ll='ls -l'
alias la='ls -A'
alias l='ls -CF'
用户: kali, 文件: .zshrc
alias history="history 0"
>> [!] [!] 可疑 - alias ls='ls --color=auto'
alias grep='grep --color=auto'
alias fgrep='fgrep --color=auto'
alias egrep='egrep --color=auto'
alias diff='diff --color=auto'
alias ip='ip --color=auto'
alias ll='ls -l'
alias la='ls -A'
alias l='ls -CF'
[2] 检测 PAM (Pluggable Authentication Modules) 后门...
------------------------------------------------------------
[*] 检查 PAM 配置文件...
>> [!] [!] 可疑PAM模块 in common-account:
account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
>> [!] [!] 可疑PAM模块 in common-auth:
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_ (输出过长已截断)
========================================== 系统完整性检查 - 2025年 12月 20日 星期六 15:06:05 CST ========================================== >> [!] [1] 检测可疑位置的ELF可执行文件... ------------------------------------------------------------ [*] 检查临时目录中的ELF文件... 目录: /tmp >> [!] [!] 可疑ELF文件: /tmp/shell.elf -rwxrwxrwx 1 root root 250 12月15日 14:09 /tmp/shell.elf /tmp/shell.elf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, no section header 目录: /dev/shm 目录: /var/tmp [2] 检测隐藏的ELF文件(以.开头)... ------------------------------------------------------------ [*] 检查目录: /tmp [*] 检查目录: /dev/shm [*] 检查目录: /var/tmp [*] 检查目录: /home [*] 检查目录: /root [3] 检测关键系统命令的完整性... ------------------------------------------------------------ [*] 检查关键命令... [!] 警告 - service 是脚本而非二进制: /usr/sbin/service 类型: POSIX shell script, ASCII text executable, with very long lines (459) [!] 警告 - firewalld 是脚本而非二进制: /usr/sbin/firewalld 类型: Python script, ASCII text executable >> [!] [4] 检测可疑的SUID/SGID文件... ------------------------------------------------------------ [*] 查找SUID文件(最近7天修改)... [*] 查找SGID文件(最近7天修改)... >> [!] [*] 检查可疑位置的SUID/SGID文件... [5] 检测无所有者的文件(可能是攻击者删除账户后遗留)... ------------------------------------------------------------ [*] 查找无所有者的文件... [!] 无所有者文件: /var/lib/docker/overlay2/9360f4e52f740159a5e01f8ccf61950ccb3e4002e723440e3bb36efcc43829a0/diff/usr/local/bin/caido-cli -rwxr-xr-x 1 1001 1001 147M 2025年 5月14日 /var/lib/docker/overlay2/9360f4e52f740159a5e01f8ccf61950ccb3e4002e723440e3bb36efcc43829a0/diff/usr/local/bin/caido-cli 类型: ELF可执行文件 [!] 无所有者文件: /root/.cpan/build/DBD-SQLite-1.76-0/constants.inc -rw-r--r-- 1 1001 1001 39K 2024年 9月17日 /root/.cpan/build/DBD-SQLite-1.76-0/constants.inc [!] 无所有者文件: /root/.cpan/build/DBD-SQLite-1.76-0/Changes -rw-r--r-- 1 1001 1001 52K 2024年10月19日 /root/.cpan/build/DBD-SQLite-1.76-0/Changes [!] 无所有者文件: /root/.cpan/build/DBD-SQLite-1.76-0/typemap -rw-r--r-- 1 1001 1001 664 2024年 1月21日 /root/.cpan/build/DB (输出过长已截断)
| 文件路径 | SHA256(前16位) | 威胁分数 | 状态 | 检出率 | 来源 |
|---|---|---|---|---|---|
| /tmp/shell.elf | 179fa7b1207e7a06... |
52 | 🔴 恶意 | 34/65 | VirusTotal (Upload) |
SHA256: 179fa7b1207e7a06e5a9e7fcf80ccc751a8ef1e04608b55d468c5d0cdf61a4b7
威胁分数: 52/100
状态: 🔴 恶意
文件类型: Unknown
VirusTotal检出率: 34/65 (52%)
建议: 立即隔离并删除该文件,检查系统是否存在其他恶意文件
==========================================
计划任务检查 - 2025年 12月 20日 星期六 15:06:53 CST
==========================================
[*] 检查系统crontab (/etc/crontab)...
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.daily; }
47 6 * * 7 root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.weekly; }
52 6 1 * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.monthly; }
#
[*] 检查 /etc/cron.d/ 目录...
总计 36
drwxr-xr-x 2 root root 4096 2025年 4月25日 .
drwxr-xr-x 198 root root 12288 12月20日 14:21 ..
-rw-r--r-- 1 root root 188 2025年 1月 1日 e2scrub_all
-rw-r--r-- 1 root root 607 2024年 9月18日 john
-rw-r--r-- 1 root root 712 2024年12月 4日 php
-rw-r--r-- 1 root root 102 2025年 2月 6日 .placeholder
-rw-r--r-- 1 root root 400 2024年 1月16日 sysstat
--- /etc/cron.d/e2scrub_all ---
30 3 * * 0 root test -e /run/systemd/system || SERVICE_MODE=1 /usr/libexec/e2fsprogs/e2scrub_all_cron
10 3 * * * root test -e /run/systemd/system || SERVICE_MODE=1 /sbin/e2scrub_all -A -r
--- /etc/cron.d/john ---
#
# Start john everyday at the same to try to crack the passwords. The
# second line will then later stop the process so that it doesn't
# consume system resources that (输出过长已截断)
========================================== 日志检查 - 2025年 12月 20日 星期六 15:07:01 CST ========================================== >> [!] [*] 检查最近的认证失败 (最后50条)... [*] 检查成功的SSH登录 (最后30条)... [*] 检查root用户登录... [*] 检查sudo命令执行 (最后30条)... [*] 检查用户添加/删除... [*] 检查凌晨时段登录 (02:00-05:59)... >> [!] [*] 检查暴力破解迹象 (同一IP失败次数)... [*] 检查系统日志错误 (最后20条)... >> [!] 12月 15 10:45:53 kali sshd-session[22808]: pam_winbind(sshd:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'root') 12月 15 13:54:20 kali systemd-networkd-wait-online[86459]: Timeout occurred while waiting for network connectivity. 12月 17 10:02:48 kali systemd-networkd-wait-online[88882]: Timeout occurred while waiting for network connectivity. 12月 17 10:02:49 kali systemd-networkd-wait-online[88919]: Timeout occurred while waiting for network connectivity. 12月 17 17:13:42 kali kernel: Bluetooth: hci0: unexpected cc 0x0c12 length: 2 < 3 >> [!] 12月 17 17:13:42 kali kernel: Bluetooth: hci0: Opcode 0x0c12 failed: -38 >> [!] 12月 17 17:13:55 kali gdm-password][107006]: pam_unix(gdm-password:auth): conversation failed 12月 17 17:13:55 kali gdm-password][107006]: pam_unix(gdm-password:auth): auth could not identify password for [root] 12月 17 17:13:55 kali gdm-password][107006]: pam_winbind(gdm-password:auth): Could not retrieve user's password 12月 18 10:02:45 kali systemd-networkd-wait-online[120291]: Timeout occurred while waiting for network connectivity. 12月 18 12:11:21 kali kernel: Bluetooth: hci0: unexpected cc 0x0c12 length: 2 < 3 >> [!] 12月 18 12:11:21 kali kernel: Bluetooth: hci0: Opcode 0x0c12 failed: -38 >> [!] 12月 18 12:11:28 kali gdm-password][124416]: pam_unix(gdm-password:auth): conversation failed 12月 18 12:11:41 kali systemd-networkd-wait-online[124169]: Timeout occurred while waiting for network connectivity. 12月 18 22:23:00 kali kernel: Bluetooth: hci0: unexpected cc 0x0c12 length: 2 < 3 >> [!] 12月 18 22:23:00 kali kernel: Bluetooth: hci0: Opcode 0x0c12 failed: -38 12月 19 11:05:53 kali systemd-networkd-wait-online[126855]: Timeout occurred while waiti (输出过长已截断)
/tmp/irt_check_logs.sh: 行 104: last: 未找到命令 /tmp/irt_check_logs.sh: 行 116: lastlog: 未找到命令