问题背景
安全人员在日常工作中通常要手工排查 Linux 服务器的安全性,对于中马的服务器,我将其归纳为4个阶段:
1.木马如何传播到服务器上 (Eg:暴力破解系统用户);
2.木马的目的是什么(Eg:挖矿、DDOS 攻击);
3.木马怎样清除痕迹(Eg:删除日志和历史命令);
4.木马如何保持连接(Eg:通过启动项和定时任务)。
本文将从检查用户、日志、文件等十个步骤,通过相关具体命令来讲解如何手工排查 Linux 服务器的安全性。
Linux 常用命令
du -sh *
查看当前文件夹大小
head -n 100 1.log
查看一个大文件的前100行
grep -ri "nameseve" --include="*.php" /
查看文件字符串
free -m
查看系统内存大小
cp 原始文件 目的文件;
cp -r /root/* 目的目录;
复制文件及文件夹
tar -cvf a.tar 原始文件;
压缩文件
tar -xvf a.tar;
tar -xvfz a.tar.gz;
unrar e a.rar;
unzip a.zip
解压文件
lsof -p pid
查看进程
lsof -c 进程名
查看进程所打开的端口及文件
Scp [email protected]:原始文件夹 目的文件夹;
在当前服务器,将远程服务器文件拷贝到当前
scp 原始文件 [email protected]:目的文件
把当前文件传到远程服务器上
tcpdump -i eth0 -w eth0.cap -c 100000
本地抓包
kill
杀死进程
chmod
改变文件权限
Sed
本身是一个管道命令,主要是以行为单位进行处理,可以将数据行进行替换、删除、新增、选取等特定工作,删除某行
Uniq
用于报告或忽略文件中的重复行,一般与sort命令结合使用。
Sort
将文件进行排序,并将排序结果标准输出。
Linux服务器应急常用命令及思路
1 检查用户及登入情况
last
last -x reboot
查看重启的记录
last -x shutdown
查看关机的记录
last -d
查看登陆的记录
lastb
这个命令用于查看登录失败的情况,本质就是将 /var/log/btmp 文件格式化输出。
相关参数:
lastb name(root)
查看root用户登陆失败记录
lastb -10(-n)
查看最近10条登陆失败记录
lastlog
这个命令用于查看用户上一次的登录情况,本质就是将 /var/log/lastlog 文件格式化输出。
相关参数:
lastlog
所有用户上一次登陆记录
lastlog -u username(root) root
用户上一次登陆记录
lastlog –help
命令帮助信息
Linux不同的用户有不同的操作权限,但是所有用户都会在 /etc/passwd、/etc/shadow、/etc/group 文件中记录。
less /etc/passwd
查看是否有新增用户
grep :0 /etc/passwd
查看是否有特权用户(root权限用户)
ls -l /etc/passwd
查看passwd最后修改时间
stat useradd
查看该命令的时间变化,来判断是否有新增用户
cat /etc/passwd | grep -E "/bin/bash$"
查看能够登录的帐号
2 查看日志信息
/var/log/message
包括整体系统信息
/var/log/auth.log
包含系统授权信息,包括用户登录和使用的权限机制等
/var/log/userlog
记录所有等级用户信息的日志
/var/log/cron
记录crontab命令是否被正确的执行
/var/log/lastlog
记录登录的用户,可以使用命令lastlog查看
/var/log/secure
记录大多数应用输入的账号与密码,登录成功与否
/var/log/wtmp
记录登录系统成功的账户信息,等同于命令last
/var/log/faillog
记录登录系统不成功的账号信息,一般会被黑客删除
检查日志时一定要查看下 root 用户是否有被暴力破解的情况:
grep -ri "Fail" /var/log/secure*
查看失败登入情况
grep -ri "accept" /var/log/secure*
查看成功登入情况
3 查看历史命令
cat ./bash_history
history n
通过用户的历史操作命令来排查主机的安全性,可以关注以下四个方面:
① wget 远程某主机(域名&IP)的远控文件;
② 尝试连接内网某主机(ssh scp),便于分析攻击者意图;
③ 打包某敏感数据或代码,tar zip 类命令
④ 对系统进行配置,包括命令修改、远控木马类,可找到攻击者关联信息…
4 查看进程
一般被入侵的服务器都会运行一些恶意程序,或是挖矿程序,或者 DDOS 程序等。如果程序在运行中,那么通过查看进程可以发现一些信息。
*查看普通进程
ps -aux
查看进程(注意uid为0的用户)
top
提供了实时的对系统处理器的状态监视 (尤其是一些挖矿程序会消耗大量资源的)
如果进程中没有发现异常,那么可以看看有没有开启某些隐藏进程。
*查看隐藏进程
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2
通过以上3个步骤可以检查是否开启了某些隐藏进程。
5 查看文件
攻击者入侵成功后,会将木马上传到一个合适的文件夹下,要求具有可写可执行的权限,/tmp / 文件夹通常是合适的选择,所以可以重点看一下。
被入侵的网站,通常肯定有文件被改动,那么可以通过比较文件创建时间、完整性、文件路径等方式查看文件是否被改动。可以重点查看下相关配置文件,比如 /etc/init.conf。
find / -uid 0 -print
查找特权用户文件
find / -size +10000k -print
查找大于10000k的文件
find / -name "…" -print
查找用户名为…的文件
md5sum -b filename
查看文件的md5值
whereis 文件名
查看文件路径
stat 文件名
查看文件时间修改等详细信息
du -sh 文件名
查看文件大小
find / -atime 2 > /tmp/1.txt
查看最近两天访问的文件
find / -ctime 2 > /tmp/1.txt
查看最近两天状态改变的文件(比如文件的权限 所属组信息等)
find / -mtime 2 > /tmp/1.txt
查看最近两天内容改变的文件
注:find -mtine 2 表示两天以内,find +mtime 2 表示两天以前。
6 查看计划任务
当我们尝试 kill 恶意程序时,往往会遇到被 kill 掉的程序自动启动的问题,那么就要检查下计划任务(cron)了。
crontab -u root -l
cat /etc/crontab
查看root用户的计划任务
ls /var/spool/cron/
ls -l /etc/cron.*
查看cron文件是否变化的详细信息
7 查看启动项
ls /etc/rc.dl
ls –alt /etc/init.d/
系统开机后,此目录下的文件会被启动
8 检查网络
检查网络的目的,是查看黑客是否通过篡改网卡类型,进行流量嗅探等操作。
ip link | grep PROMISC
正常网卡不应该存在promisc,如果存在可能有sniffer
netstat -nap
查看不正常端口
arp -a
查看arp记录是否正常
ifconfig -a
查看网卡设置
9 检查常用命令
有时攻击者会替换掉 ps,netstat 等命令,需要查看下相关命令的大小以及修改的时间。
可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他。
10 查看系统路径
echo $PATH
分析有无敏感可疑信息
以上是我的一些经验总结,对于角度不够全面的地方欢迎大家共同探讨。
本文指令参考:
http://man.linuxde.net/
http://www.cnblogs.com/maifengqiang/p/3863168.html