如何通过Auditd在Linux系统上监控所有网络套接字创建活动以检测木马反弹连接?
- 内容介绍
- 文章标签
- 相关推荐
本文共计827个文字,预计阅读时间需要4分钟。
`auditd` 本身不直接记录日志,但能监控网络连接建立。这类应用层行为作为,但能捕获创建 Socket 的关键系统调用(如 socket()、connect()、bind()),这是识别反弹 Shell 和隐蔽通信的最底层、最可靠的切入点。
明确监控目标:盯住 execve + socket 相关系统调用
反弹 Shell 的本质是:恶意进程先被启动(execve),再主动调用 socket() 和 connect() 去连外网。auditd 无法记录 TCP 握手包,但能精准抓到这两个动作的发起者和参数。
本文共计827个文字,预计阅读时间需要4分钟。
`auditd` 本身不直接记录日志,但能监控网络连接建立。这类应用层行为作为,但能捕获创建 Socket 的关键系统调用(如 socket()、connect()、bind()),这是识别反弹 Shell 和隐蔽通信的最底层、最可靠的切入点。
明确监控目标:盯住 execve + socket 相关系统调用
反弹 Shell 的本质是:恶意进程先被启动(execve),再主动调用 socket() 和 connect() 去连外网。auditd 无法记录 TCP 握手包,但能精准抓到这两个动作的发起者和参数。