远程系统会响应通常被 BPFDoor 看到的请求，BPFDoor 是 Linux 的后门有效负载，通常由恶意软件部署以重新进入设备。此插件将在扫描程序上打开回调并监听 BPFDoor 响应。因此，它不适用于基于云的扫描程序。 

此插件会尝试将 BPFDoor 有效负载发送到扫描目标上的任何开放端口。如果没有已知要开放的端口，并且将首选项“将未扫描的端口视为已关闭”设置为“否”，则它会尝试将数据包发送到 UDP 68。该插件还将验证对回调的响应是否正确。如果您还想要捕捉未知的响应，可以设置“显示潜在误报”。

有一个或多个指标表明此系统已运行 BPFDoor，这是一种用于 Linux 的后门负载，通常由恶意软件部署，以获取设备的重新进入权限。

建议手动验证结果并采取适当的修复操作。

请注意，Nessus 并未针对此问题进行测试，而是寻找通常由后门程序留下的踪迹。

远程 MacOS 主机上一个或多个文件的校验和，与使用扫描策略中的“Provide your own list of known bad hashes”首选项（位于“Hash and Whitelist Files”区段下）提供的其中一个签名匹配。

请注意，Nessus 仅扫描 MacOS 的可执行二进制文件和库。

远程 MacOS 主机上一个或多个文件的校验和与已知的恶意软件相匹配。

请注意，Nessus 仅扫描 MacOS 的可执行二进制文件和库。

远程 Linux 主机上一个或多个文件的校验和，与使用扫描策略中的“Provide your own list of known bad hashes”首选项（位于“Hash and Whitelist Files”区段下）提供的其中一个签名匹配。

请注意，Nessus 仅扫描 Linux 的可执行二进制文件和库。

远程 Linux 主机上一个或多个文件的校验和与已知的恶意软件相匹配。

请注意，Nessus 仅扫描 Linux 的可执行二进制文件和库。

已定义的规则和 Yara 安装已在远程主机上设置。

已定义的规则和临时的 Yara 安装已从远程主机清除。

该主机似乎正在通过 TLS 侦听的 Ncat 实例上运行。Ncat 是一种开源网络工具，可用作后门程序以允许在未经授权的情况下进入和控制远程主机

攻击者可利用此木马盗取密码、修改数据，并阻止工作顺利进行。

远程 SingTel 路由器可能含有一个后门程序。在用户请求客户服务之后，某些 SingTel 路由器的管理 Web 界面通过客户支持端口转发到面向公众的地址。取决于配置，路由器可能不需要任何凭据，也可能需要默认凭据或弱凭据即可获取管理权限。远程攻击者可同时控制这些设备，并将其作为将攻击面扩展到所有连接设备的枢纽。

此主机看似正在运行 WinShell。WinShell 是一种特洛伊木马，允许入侵者控制远程计算机。

攻击者可利用此木马盗取密码、修改数据，并阻止工作顺利进行。

远程 Windows 主机上安装的 Piriform CCleaner 版本为 5.33.6162。因此，会受到 CCleaner.exe 中一个恶意后门程序的影响，允许远程攻击者获得敏感信息，并安装未经授权的软件。

Nessus 检测到远程 Windows 主机上存在一个或多个符合 YARA 规则的进程。请注意，需有可使用 ptrace 的特殊权限账户才能扫描内存。

Nessus 检测到远程 Linux 上存在一个或多个符合 YARA 规则的文件。

远程 Mac OS X 主机上一个或多个正在运行的进程的哈希值，与使用扫描策略中的“提供自己的已知错误哈希列表”首选项（位于“哈希和白名单文件”部分下）提供的其中一个签名相匹配。

验证远程进程在您的环境中是否合法以及是否获得授权。

远程 Linux 主机上一个或多个正在运行的进程的哈希值，与使用扫描策略中的“提供自己的已知错误哈希列表”首选项（位于“哈希和白名单文件”部分下）提供的其中一个签名相匹配。

验证远程进程在您的环境中是否合法以及是否获得授权。

Nessus 在远程主机上检测到一个木马后门程序，称为 G_Door。
远程攻击者可对此加以利用，无限制地从远程控制系统。

Nessus 在远程主机上检测到一个木马后门程序，称为 NetSpy。
远程攻击者可对此加以利用，无限制地从远程控制系统。

远程主机被 SYNful Knock 植入感染，通过恶意 IOS 固件映像引入了一个永久的后门。通过将 HTTP 数据包发送到设备的接口，远程攻击者可利用该植入获取受影响设备的完全控制。

远程设备是 ASUS 路由器，该路由器包含受到“infosvr”服务中的一个缺陷影响的固件，该缺陷是由于未正确检查请求的 MAC 地址导致的。通过将特别构建的请求发送至 UDP 端口 9999，未经认证的远程攻击者可利用此缺陷在设备上运行任意命令，或者访问配置详细信息（包括密码）。

ZXShell 是一个远程访问木马后门程序，可出于恶意目的在网络中持续存在。

检测：

- ZXShell HTTP 服务器
 - ZXShell 命令和控制服务器

远程主机正在运行 Hikit 后门客户端。Hikit 是一个远程管理工具 (RAT)，用于控制受恶意软件影响的计算机。该“客户端”组件用于控制这些计算机，与恶意活动相关联。

远程设备为 SYAC DigiEye，这是一款数字视频录制器，有一个后门在 7339 端口上运行。攻击者可利用此后门，以管理（根）权限在设备上运行任意命令或访问配置详细信息（包括密码）。

运行 LeftHand OS 的远程 HP 存储系统内置了 SSH 支持后门机制，这可允许远程攻击者获得对系统的根 shell 访问权限。

Nessus 可访问设备上的“web_shell_cmd.gch”脚本（这是允许不经过认证即可在设备上运行管理命令的后门）。

远程主机正在运行 LusyPOS（使用内存抓取技术和 Tor 网络来泄漏数据的销售点 (POS) 恶意软件）。

远程设备为在 32764 端口上运行的包含后门的 DSL 调制解调器/路由器。攻击者可以在此设备上运行任意命令或访问配置详细信息（包括密码）。

远程 macOS 或 Mac OS X 主机上的一个或多个正在运行的进程未列在“已知良好”软件的数据库中，并且从未出现在近期（十二个月以内）扫描中。

远程 Mac OS X 主机上一个或多个正在运行的进程的哈希值与已知的恶意软件相匹配。

远程 Linux 主机上的一个或多个正在运行的进程未列在“已知良好”软件的数据库中，并且从未出现在近期（十二个月以内）扫描中。

远程 Linux 主机上一个或多个正在运行的进程的哈希值与已知的恶意软件相匹配。

远程 Windows 主机有文件指示安装了 KINS 银行业务特洛伊木马。

如果系统上检测到与文件 KINS 相同的文件名，可能发生误报。

远程主机似乎受到 Linux/Cdorked.A 后门的感染。攻击者可利用此后门远程访问系统。还可以导致用户访问要重定向到恶意网站的受感染 Web 服务器。

远程主机上似乎安装了 DNSChanger。该恶意软件将主机配置为使用流氓 DNS 服务器，这可造成对合法网站和主机名的请求被路由到攻击者控制的计算机。

Nessus 可通过比较主机上配置的 DNS 服务器列表和与此恶意软件关联的 IP 地址列表来确定受到感染的可能性。可在链接的参考中找到更多信息。

shell 正在远程端口上监听，无需任何身份验证。攻击者可连接至远程端口并直接发送命令，从而利用此漏洞。

远程主机似乎感染了 Stuxnet 蠕虫。此蠕虫具有多种功能，可允许攻击者在远程操作系统上执行任意代码。远程主机还会尝试将该蠕虫传播给第三方主机。

远程 Windows 主机系统上显示的多个文件均表明系统已被 Stuxnet 蠕虫感染。此蠕虫会利用已知的 Windows 漏洞和可移动媒体，尝试以多种方式扩散。此蠕虫曾利用数个零日漏洞攻击 Siemens SCADA 系统。

该插件会寻找 Windows 系统在受感染的情况下生成的文件。Stuxnet 可执行文件会使用硬编码的文件名，并生成可由系统加载的数个文件（例如恶意驱动程序）。如果出现这些文件，即表示系统被 Stuxnet 尝试使用的某个矢量感染。

远程 Windows 主机系统上显示的多个文件均表明存在“Here You Have”电子邮件蠕虫。若运行此文件，此主机的用户可能会收到含有恶意“.scr”（屏幕保护程序）文件的电子邮件，并会导致该主机受到感染。

此恶意软件具有数个功能。最有害的功能为其可自我传播，并通过电子邮件、卸除式磁盘驱动器、共享文件夹和即时消息感染系统。该蠕虫将自身的副本发送到在 Microsoft Outlook 通讯簿和 Yahoo!  Messenger 中找到的地址，引诱用户点击其中附加的 .scr 文件，从而导致该蠕虫进一步传播。

此恶意软件也会禁用大量供应商提供的多种防病毒程序包，将其关闭以确保自己可在刚受到感染的系统上存活。在系统受到感染期间这些 AV 程序包会维持禁用状态，因此 AV 扫描可能不会检测到实际的感染。

此恶意软件还会尝试针对 Internet Explorer 和 Firefox 中存储的网站、无线网络密钥等项目复原已保存的密码，然后将这个窃取到的数据传回给攻击者。达到上述目标的作法为使用设计用于凭据复原的第三方非恶意工具。此恶意软件会以非标准方式存储和使用这些工具，不过这也是受到此恶意软件感染的指标。

远程 IRC 服务器是具有后门程序的 UnrealIRCd 版本，其允许攻击者在受影响的主机上执行任意代码。

远程 Windows 主机含有一些文件，可指示已安装 Zeus（也称为 Zbot）银行业务特洛伊木马，或遭窃的数据已由此遗留在系统上的特洛伊木马所收集。

Zeus 特洛伊木马将会拦截并记录与网上银行相关的活动，以及其他登录活动（例如 Web、ftp、电子邮件等），并将这些凭据报告给第三方。根据 Zeus 的感染情况，目标凭据是独特的，因此任何网站皆可受到影响。

Zeus 也会赋予攻击者对于系统的完整控制权，允许进一步安装恶意软件、通过感染的主机代理流量，以及执行其他操作，例如终止系统。

如果系统上检测到与文件 Zeus 相同的文件名，可能发生误报。这些文件名会模仿标准 Windows 文件，在任何情况下都应视为可疑。

远程 Windows 主机似乎正在运行 Arugizer 后门程序。连接到此端口的未认证的远程攻击者可利用后门来列出目录、发送和接收文件以及执行程序。

远程主机似乎受到 Conficker 蠕虫感染。此蠕虫具有多种功能，可允许攻击者在远程操作系统上执行任意代码。

远程主机还可能尝试将该蠕虫传播给第三方主机。

远程主机似乎受到 Conficker 蠕虫感染。此蠕虫具有多种功能，可允许攻击者在远程操作系统上执行任意代码。远程主机还会尝试将该蠕虫传播给第三方主机。

Microsoft Windows shell 正在端口 8888 上运行。这可能表示受到 Zotob 蠕虫的感染，但其他蠕虫也可能在此端口上创建 shell。

此主机似乎正在运行 ident 服务器，但在发送任何请求之前，该服务器会就有关端口 6667 的连接做出响应。

此系统很可能已经遭到 IRC Bot 的破坏，并且现在是可参与“分布式拒绝服务”(DDoS) 攻击的“僵尸”系统。

此 SMTP 服务器正在运行非标准端口。这可能是攻击者为了发送垃圾邮件或者甚至控制目标设备而设置的后门程序。

此端口上的欢迎消息与已知后门的标题一致。这非常可疑。主机可能被后门感染，并且很有可能处于恶意攻击者的控制之下。

TFTP 服务器正在此端口上运行。但当尝试获取一个随机文件时，我们得到了一个可执行文件。 

已知许多蠕虫可通过 TFTP 传播。这可能是一个后门程序。

TCP 端口 0 在远程主机上开启。这值得高度怀疑，因为此 TCP 端口已保留且不应使用。这可能是一个后门程序 (REx)。

远程主机似乎已感染 Bofra 蠕虫或其某个变体，该病毒可通过 Internet Explorer IFRAME 漏洞感染计算机。此系统可能已经遭到入侵。

ID	名称	严重性
161761	Linux BPFDoor 检测（直接检查）	critical
161476	可能接触 BPFDoor（本地检查 - Linux）	critical
126261	MacOS 恶意文件检测：用户定义的恶意软件	critical
126260	MacOS 恶意文件检测	critical
126259	Linux 恶意文件检测：用户定义的恶意软件	critical
126258	Linux 恶意文件检测	critical
124649	YARA 扫描设置 (Linux)	info
124648	YARA 扫描清除 (Linux)	info
122316	Ncat TLS 侦听器	critical
110271	SingTel 后门程序检测 (ForgotDoor)	high
106629	WinShell Trojan 检测	critical
103302	Piriform CCleaner 5.33.6162 后门程序	critical
97863	YARA 内存扫描 (Linux)	critical
97862	YARA 文件扫描 (Linux)	critical
91224	恶意流程检测：用户定义的恶意软件运行 (Mac OS X)	critical
91223	恶意流程检测：用户定义的恶意软件运行 (Linux)	critical
90255	G_Door 恶意软件检测	critical
90254	NetSpy 恶意软件服务检测	critical
86151	Cisco IOS SYNful Knock 植入	critical
80518	ASUS 路由器“infosvr”远程命令执行	critical
78430	ZXShell 恶意软件服务检测	critical
78429	Hikit 后门检测	critical
77606	SYAC DigiEye 后门检测	high
73461	HP StoreVirtual Storage 远程未经授权的访问	high
73104	ZTE F460 / F660 电缆调制解调器 web_shell_cmd.gch 管理后门	critical
80457	LusyPOS 恶意软件检测	critical
71807	ScMM DSL 调制解调器/路由器后门检测	critical
71264	macOS 可执行文件的声誉：从未见过的进程	info
71263	Mac OS X 恶意进程检测	critical
71262	Linux 可执行文件的声誉：从未见过的进程	info
71261	Linux 恶意进程检测	critical
69555	KINS 银行业务特洛伊木马/数据盗窃（凭据检查）	critical
66391	Linux/Cdorked.A 后门	critical
58182	DNSChanger 恶意软件检测	medium
51988	Bind Shell 后门检测	critical
50658	Stuxnet 蠕虫检测 (无凭据检查)	critical
49270	Stuxnet 蠕虫检测	critical
49211	Here You Have 电子邮件蠕虫检测	critical
46882	UnrealIRCd 后门程序检测	critical
45085	Zeus/Zbot 银行业务特洛伊木马/数据窃取（凭据检查）	critical
45005	Arugizer 后门程序检测	critical
36217	Conficker 对等服务检测	critical
36036	Conficker 蠕虫检测（无凭据检查）	critical
19429	Zotob 蠕虫检测	critical
18392	IRC Bot 检测	critical
18391	SMTP 服务器非标准端口检测	medium
18367	Kibuv 蠕虫检测	critical
18263	TFTP 后门检测	critical
18164	TCP 端口 0 开启：可能的后门	info
15746	Microsoft IE FRAME/IFRAME/EMBED 标签溢出（Bofra 蠕虫检测）	critical

检测

Nessus 的 Backdoors 系列

critical

critical

critical

critical

critical

critical

info

info

critical

high

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

high

high

critical

critical

critical

info

critical

info

critical

critical

critical

medium

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

medium

critical

critical

info

critical