序言:

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全风波时,急需第一时间进行处理,使企业的网路信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵车祸过程,同时给出解决方案与防范举措,为企业挽回或减轻经济损失。

针对常见的功击风波,结合工作中应急响应风波剖析和解决的方式,总结了一些Linux服务器入侵排查的思路。

01文件剖析-敏感文件信息

linux系统下一切都是文件,其中/tmp是一个非常的临时目录文件。每位用户都可以对它进行读写操作。因而一个普通用户可以对/tmp目录执行读写操作。

查看敏感目录文件,如tmp目录、可执行程序目录/usr/bin,/usr/sbin等

1.使用la-alt/查找tmp目录

2.使用ls—help查看帮助信息

3.ls的常用用法:

ls拿来显示目录列表

-a显示所有档案及目录

-l以长格式显示目录下的内容列表

-t用文件和目录的修改时间排序

4.步入tmp目录,查找近来新添加的可疑文件。

02文件分剖析-敏感文件信息

查看开机启动项内容/etc/init.d/,恶意代码很有可能设置在开机启动的位置。

查看指定目录下文件时间次序的排序:ls-alt|head-n10

查看文件时间属性:stat文件名

使用ls-alh/etc/init.d//查看开机启动项

步入开机启动项目录,对其进行筛选。

针对可以文件可以使用stat进行创建更改时间、访问时间的详尽查看,若更改时间距离时间日期接近,有线性关联linux操作系统安装,说明可以被篡改。

如:statapache2查看文件详尽信息。

03文件剖析-敏感文件信息

主要针对新增文件剖析:

查找24h内被更改的文件

find./-mtime0-name“*.php”

查找72h内新增的文件

find./-ctime-2-name“‘*.php”

权限查找,在linux系统中,假如具有777权限linux 权限 777,这么文件就很可疑。

find./-iname“*.php”-perm777其中-iname忽视大小写,-perm用于设定筛选文件权限

find./-ctime-2-name“‘*.txt”//查找72h内新增的txt文件。

find./-iname“*.php”-perm777//查找近来新建的含.php文件的,具有最高权限的文件。

新构建一个z.php文件,给与最高权限。

再度进行筛选。

04-网路联接剖析

在linux中可以使用netstat进行网路联接查看

netstat-Printnetworkconnections,rountingtables,interfacestatistics,masqueradeconnections,andmulticastmemberships

具体帮助信息查看mannetstat

常用命令netstat-pantl查看处于tcp网路套接字相关信息

关掉未知联接使用kill-9pid既可关掉。

使用:netstat-pantl查看处于tcp网路套接字相关信息

ipa查看网路信息

发觉可疑进程,使用kill-9+pid值,之后关掉进程。

05-进程剖析-进程所对文件

使用ps命令,剖析进程。按照netstat定位出pid,使用ps命令,剖析进程

使用psaux查看你所有进程信息

psaux|grep“22”查看近来使用了22端口的进程。

使用pid进行筛选

筛选pid为647的进程。

查看端口未22的隐藏进程

06-登陆剖析-筛选异常登陆

在Linux做的操作就会被记录到系统日志中,对于登陆也可以查看日志信息查看是否有异常登陆

last命令记录着所有用户登入系统的日志,可以拿来查找非授权用户的登陆风波,而last命令的输出结果来始于/var/log/wtmp文件,稍有经验的入侵者就会删除

/var/log/wtmp以消除自己行踪,而且还是会漏出蛛丝马迹在此文件中的

last-igrep-h0.0.0.0查看登陆日志linux,筛选非本地登陆

last-i//查看登陆日志linux 权限 777,含登陆ip地址。

last-igrep-v0.0.0.0查看登陆日志,筛选非本地登陆

常见的用法:

who查看当前登入用户(tty本地登录pts远程登陆)

w查看某一时刻用户的行为

uptime查看有多少用户,借此确定是否存在异常用户

lastb显示登陆失败次数,判定是存在ssh爆破

last显示用户近来登入信息。

lastlog登陆成功记录

总结:

本文主要总结了在遇见了Linux系统时,应急响应先从对敏感文件剖析、敏感文件信息、网络联接剖析、进程剖析、异常登陆记录进行剖析。

本文由Arthur原创发布

本文原创地址:https://www.linuxprobe.com/lfwqrqpcznrh.html编辑:刘遄,审核员:暂无