系统被黑不要慌,十个步骤来排查


系统被黑不要慌,十个步骤来排查_第1张图片

问题背景

安全人员在日常工作中通常要手工排查 Linux 服务器的安全性,对于中马的服务器,我将其归纳为4个阶段:

1.木马如何传播到服务器上 (Eg:暴力破解系统用户);

2.木马的目的是什么(Eg:挖矿、DDOS 攻击);

3.木马怎样清除痕迹(Eg:删除日志和历史命令);

4.木马如何保持连接(Eg:通过启动项和定时任务)。

本文将从检查用户、日志、文件等十个步骤,通过相关具体命令来讲解如何手工排查 Linux 服务器的安全性。

Linux 常用命令

du -sh *

查看当前文件夹大小

head -n 100 1.log

查看一个大文件的前100行

grep -ri "nameseve" --include="*.php" /

查看文件字符串

free -m

查看系统内存大小

cp 原始文件 目的文件;

cp -r /root/* 目的目录;

复制文件及文件夹

tar -cvf a.tar 原始文件;

压缩文件

tar -xvf a.tar;

tar -xvfz a.tar.gz;

unrar e a.rar;

unzip a.zip

解压文件

lsof -p pid

查看进程

lsof -c 进程名

查看进程所打开的端口及文件

Scp [email protected]:原始文件夹 目的文件夹;

在当前服务器,将远程服务器文件拷贝到当前

scp 原始文件 [email protected]:目的文件

把当前文件传到远程服务器上

tcpdump -i eth0 -w eth0.cap -c 100000

本地抓包

kill

杀死进程

chmod

改变文件权限

Sed

本身是一个管道命令,主要是以行为单位进行处理,可以将数据行进行替换、删除、新增、选取等特定工作,删除某行

Uniq

用于报告或忽略文件中的重复行,一般与sort命令结合使用。

Sort

将文件进行排序,并将排序结果标准输出。

Linux服务器应急常用命令及思路

1 检查用户及登入情况

last

last -x reboot

查看重启的记录

last -x shutdown

查看关机的记录

last -d

查看登陆的记录

lastb

这个命令用于查看登录失败的情况,本质就是将 /var/log/btmp 文件格式化输出。

相关参数:

lastb name(root)

查看root用户登陆失败记录

lastb -10(-n)

查看最近10条登陆失败记录

lastlog

这个命令用于查看用户上一次的登录情况,本质就是将 /var/log/lastlog 文件格式化输出。

相关参数:

lastlog

所有用户上一次登陆记录

lastlog -u username(root) root

用户上一次登陆记录

lastlog –help

命令帮助信息

Linux不同的用户有不同的操作权限,但是所有用户都会在 /etc/passwd、/etc/shadow、/etc/group 文件中记录。

less /etc/passwd

查看是否有新增用户

grep :0 /etc/passwd

查看是否有特权用户(root权限用户)

ls -l /etc/passwd

查看passwd最后修改时间

stat  useradd

查看该命令的时间变化,来判断是否有新增用户

cat /etc/passwd  | grep -E "/bin/bash$"

查看能够登录的帐号

2 查看日志信息

/var/log/message

包括整体系统信息

/var/log/auth.log

包含系统授权信息,包括用户登录和使用的权限机制等

/var/log/userlog

记录所有等级用户信息的日志

/var/log/cron

记录crontab命令是否被正确的执行

/var/log/lastlog

记录登录的用户,可以使用命令lastlog查看

/var/log/secure

记录大多数应用输入的账号与密码,登录成功与否

/var/log/wtmp

记录登录系统成功的账户信息,等同于命令last

/var/log/faillog

记录登录系统不成功的账号信息,一般会被黑客删除

检查日志时一定要查看下 root 用户是否有被暴力破解的情况:

grep   -ri   "Fail"   /var/log/secure*

查看失败登入情况

grep  -ri  "accept"   /var/log/secure*

查看成功登入情况

3 查看历史命令

cat   ./bash_history

history  n

通过用户的历史操作命令来排查主机的安全性,可以关注以下四个方面:

① wget 远程某主机(域名&IP)的远控文件;

② 尝试连接内网某主机(ssh scp),便于分析攻击者意图;

③ 打包某敏感数据或代码,tar zip 类命令

④ 对系统进行配置,包括命令修改、远控木马类,可找到攻击者关联信息…

4 查看进程

一般被入侵的服务器都会运行一些恶意程序,或是挖矿程序,或者 DDOS 程序等。如果程序在运行中,那么通过查看进程可以发现一些信息。

*查看普通进程

ps -aux

查看进程(注意uid为0的用户)

top

提供了实时的对系统处理器的状态监视 (尤其是一些挖矿程序会消耗大量资源的)


如果进程中没有发现异常,那么可以看看有没有开启某些隐藏进程。

*查看隐藏进程

ps -ef | awk '{print}' | sort -n | uniq >1

ls /proc | sort -n |uniq >2

diff 1 2

通过以上3个步骤可以检查是否开启了某些隐藏进程。

5 查看文件

攻击者入侵成功后,会将木马上传到一个合适的文件夹下,要求具有可写可执行的权限,/tmp / 文件夹通常是合适的选择,所以可以重点看一下。

被入侵的网站,通常肯定有文件被改动,那么可以通过比较文件创建时间、完整性、文件路径等方式查看文件是否被改动。可以重点查看下相关配置文件,比如 /etc/init.conf。

find / -uid 0 -print

查找特权用户文件

find / -size +10000k -print

查找大于10000k的文件

find / -name "…" -print

查找用户名为…的文件

md5sum -b filename

查看文件的md5值

whereis 文件名

查看文件路径

stat 文件名

查看文件时间修改等详细信息

du -sh  文件名

查看文件大小

find / -atime 2 >  /tmp/1.txt

查看最近两天访问的文件

find / -ctime 2 >  /tmp/1.txt

查看最近两天状态改变的文件(比如文件的权限 所属组信息等)

find / -mtime 2  >  /tmp/1.txt

查看最近两天内容改变的文件

注:find -mtine 2 表示两天以内,find +mtime 2 表示两天以前。

6 查看计划任务

当我们尝试 kill 恶意程序时,往往会遇到被 kill 掉的程序自动启动的问题,那么就要检查下计划任务(cron)了。

crontab -u root -l

cat /etc/crontab

查看root用户的计划任务

ls /var/spool/cron/

ls -l /etc/cron.*

查看cron文件是否变化的详细信息

7 查看启动项

ls /etc/rc.dl

ls –alt /etc/init.d/

系统开机后,此目录下的文件会被启动

8 检查网络

检查网络的目的,是查看黑客是否通过篡改网卡类型,进行流量嗅探等操作。

ip link | grep PROMISC

正常网卡不应该存在promisc,如果存在可能有sniffer

netstat -nap

查看不正常端口

arp -a

查看arp记录是否正常

ifconfig -a

查看网卡设置

9 检查常用命令

有时攻击者会替换掉 ps,netstat 等命令,需要查看下相关命令的大小以及修改的时间。

可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他。

10 查看系统路径

echo $PATH

分析有无敏感可疑信息


以上是我的一些经验总结,对于角度不够全面的地方欢迎大家共同探讨。

本文指令参考:

http://man.linuxde.net/

http://www.cnblogs.com/maifengqiang/p/3863168.html

你可能感兴趣的:(系统被黑不要慌,十个步骤来排查)