序言:
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全风波时,急需第一时间进行处理,使企业的网路信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵车祸过程,同时给出解决方案与防范举措,为企业挽回或减轻经济损失。
针对常见的功击风波,结合工作中应急响应风波剖析和解决的方式,总结了一些Linux服务器入侵排查的思路。
01文件剖析-敏感文件信息
在linux系统下一切都是文件,其中/tmp是一个非常的临时目录文件。每位用户都可以对它进行读写操作。因而一个普通用户可以对/tmp目录执行读写操作。
查看敏感目录文件,如tmp目录、可执行程序目录/usr/bin,/usr/sbin等
1.使用la-alt/查找tmp目录
2.使用ls—help查看帮助信息
3.ls的常用用法:
ls拿来显示目录列表
-a显示所有档案及目录
-l以长格式显示目录下的内容列表
-t用文件和目录的修改时间排序
4.步入tmp目录,查找近来新添加的可疑文件。
02文件分剖析-敏感文件信息
查看开机启动项内容/etc/init.d/,恶意代码很有可能设置在开机启动的位置。
查看指定目录下文件时间次序的排序:ls-alt|head-n10
查看文件时间属性:stat文件名
使用ls-alh/etc/init.d//查看开机启动项
步入开机启动项目录,对其进行筛选。
针对可以文件可以使用stat进行创建更改时间、访问时间的详尽查看,若更改时间距离时间日期接近,有线性关联linux操作系统安装,说明可以被篡改。
如:statapache2查看文件详尽信息。
03文件剖析-敏感文件信息
主要针对新增文件剖析:
查找24h内被更改的文件
find./-mtime0-name“*.php”
查找72h内新增的文件
find./-ctime-2-name“‘*.php”
权限查找,在linux系统中,假如具有777权限linux 权限 777,这么文件就很可疑。
find./-iname“*.php”-perm777其中-iname忽视大小写,-perm用于设定筛选文件权限
find./-ctime-2-name“‘*.txt”//查找72h内新增的txt文件。
find./-iname“*.php”-perm777//查找近来新建的含.php文件的,具有最高权限的文件。
新构建一个z.php文件,给与最高权限。
再度进行筛选。
04-网路联接剖析
在linux中可以使用netstat进行网路联接查看
netstat-Printnetworkconnections,rountingtables,interfacestatistics,masqueradeconnections,andmulticastmemberships
具体帮助信息查看mannetstat
常用命令netstat-pantl查看处于tcp网路套接字相关信息
关掉未知联接使用kill-9pid既可关掉。
使用:netstat-pantl查看处于tcp网路套接字相关信息
ipa查看网路信息
发觉可疑进程,使用kill-9+pid值,之后关掉进程。
05-进程剖析-进程所对文件
使用ps命令,剖析进程。按照netstat定位出pid,使用ps命令,剖析进程
使用psaux查看你所有进程信息
psaux|grep“22”查看近来使用了22端口的进程。
使用pid进行筛选
筛选pid为647的进程。
查看端口未22的隐藏进程
06-登陆剖析-筛选异常登陆
在Linux做的操作就会被记录到系统日志中,对于登陆也可以查看日志信息查看是否有异常登陆
last命令记录着所有用户登入系统的日志,可以拿来查找非授权用户的登陆风波,而last命令的输出结果来始于/var/log/wtmp文件,稍有经验的入侵者就会删除
/var/log/wtmp以消除自己行踪,而且还是会漏出蛛丝马迹在此文件中的
last-igrep-h0.0.0.0查看登陆日志linux,筛选非本地登陆
last-i//查看登陆日志linux 权限 777,含登陆ip地址。
last-igrep-v0.0.0.0查看登陆日志,筛选非本地登陆
常见的用法:
who查看当前登入用户(tty本地登录pts远程登陆)
w查看某一时刻用户的行为
uptime查看有多少用户,借此确定是否存在异常用户
lastb显示登陆失败次数,判定是存在ssh爆破
last显示用户近来登入信息。
lastlog登陆成功记录
总结:
本文主要总结了在遇见了Linux系统时,应急响应先从对敏感文件剖析、敏感文件信息、网络联接剖析、进程剖析、异常登陆记录进行剖析。
本文由Arthur原创发布
本文原创地址:https://www.linuxprobe.com/lfwqrqpcznrh.html编辑:刘遄,审核员:暂无