伺服器被入侵了怎麼辦(伺服器入侵有多難)
看了看前幾天的內容,發現有幾天沒有給大家整點乾貨了,正尋思著給大家整點啥,冥思苦相不得解後,偷偷溜出了辦公司,跑去隔壁教學區,準備去旁聽一下蹭蹭課,誒,沒想到吧,老師正在講Linux伺服器入侵。
好的,那我就跟大家說一說Linux伺服器被入侵後,我們該如何排查潛在的安全隱患,上課!
1、使用者資訊檔案/etc/passwd
ps:無密碼只允許本機登陸,遠端不允許登陸
2、影子檔案:/etc/shadow
3、檢視當前登入使用者及登入時長
4、排查使用者登入資訊
1.檢視最近登入成功的使用者及資訊
2.檢視最近登入失敗的使用者及資訊:
3.顯示所有使用者最近一次登入資訊:
在排查伺服器的時候,黑客沒有線上,可以使用last命令排查黑客什麼時間登入的有的黑客登入時,會將/var/log/wtmp檔案刪除或者清空,這樣我們就無法使用last命令獲得有用的資訊了。
在黑客入侵之前,必須使用chattr a對/var/log/wtmp檔案進行鎖定,避免被黑客刪除.
5、sudo使用者列表
入侵排查:
通過.bash/_history檔案檢視帳號執行過的系統命令:
開啟 /home 各帳號目錄下的 .bash_history,檢視普通帳號執行的歷史命令。
為歷史的命令增加登入的 IP 地址、執行命令時間等資訊:
注意:歷史操作命令的清除:history -c
該操作並不會清除儲存在檔案中的記錄,因此需要手動刪除.bash/_profile檔案中的記錄
檢查埠連線情況:
使用 ps 命令,分析程序,得到相應pid號:
檢視 pid 所對應的程序檔案路徑:
分析程序:
檢視程序的啟動時間點:
根據pid強行停止程序:
注意:如果找不到任何可疑檔案,檔案可能被刪除,這個可疑的程序已經儲存到記憶體中,是個記憶體程序。這時需要查詢PID 然後kill掉。
檢查開機啟動項:
系統執行級別示意圖:
檢視執行級別命令:
開機啟動配置檔案:
啟動Linux系統時,會執行一些指令碼來配置環境——rc指令碼。在核心初始化並載入了所有模組之後,核心將啟動一個守護程序叫做init或init.d。這個守護程序開始執行/etc/init.d/rc中的一些指令碼。這些指令碼包括一些命令,用於啟動執行Linux系統所需的服務。
開機執行指令碼的兩種方法:
(1)在/etc/rc.local的exit 0語句之間新增啟動指令碼。指令碼必須具有可執行許可權
(2)用update-rc.d命令新增開機執行指令碼
1、編輯修改/etc/rc.local
2、update-rc.d:此命令用於安裝或移除System-V風格的初始化指令碼連線。指令碼是存放在/etc/init.d/目錄下的,當然可以在此目錄建立連線檔案連線到存放在其他地方的指令碼檔案。
此命令可以指定指令碼的執行序號,序號的取值範圍是 0-99,序號越大,越遲執行。
當我們需要開機啟動自己的指令碼時,只需要將可執行指令碼丟在/etc/init.d目錄下,然後在/etc/rc.d/rc_.d檔案中建立軟連結即可。
語法:update-rc.d 指令碼名或服務
開機即執行。
入侵排查:
計劃任務排查:
需要注意的幾處利用cron的路徑:
上面的命令實際上是列出了
/var/spool/cron/crontabs/root該檔案的內容:
- /etc/crontab只允許root使用者修改
- /var/spool/cron/存放著每個使用者的crontab任務,每個任務以建立者的名字命名
- /etc/cron.d/將檔案寫到該目錄下,格式和/etc/crontab相同
- 把指令碼放在/etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/目錄中,讓它每小時/天/星期/月執行一次。
小技巧:
入侵排查:重點關注以下目錄中是否存在惡意指令碼;
入侵排查:
查詢已安裝的服務:
RPM 包安裝的服務:
原始碼包安裝的服務:
異常檔案檢查:
按照幾種方式查詢修改的檔案:
(1)按照名稱
(2)按照檔案大小
(3)按照時間查詢
(4)根據屬主和屬組查詢:
(5)按照CPU使用率從高到低排序:
(6)按照記憶體使用率從高到低排序:
補充:
1、檢視敏感目錄,如/tmp目錄下的檔案,同時注意隱藏資料夾,以“..”為名的資料夾具有隱藏屬性。
2、得到發現WEBSHELL、遠控木馬的建立時間,如何找出同一時間範圍內建立的檔案?
可以使用find命令來查詢,如find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前訪問過的檔案。
3、針對可疑檔案可以使用 stat 進行建立修改時間。
系統日誌檢查:
日誌預設存放位置:/var/log/
必看日誌:secure、history
檢視日誌配置情況:more /etc/rsyslog.conf
日誌分析技巧:
內容很長,還有些枯燥,但是希望大家可以慢慢看完,要是有哪裡需要補充的,也隨時歡迎大家評論留言,好的,下課!!