亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

0x00 前言

當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運行的安全事件時，急需第一時間進(jìn)行處理，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時間內(nèi)恢復(fù)正常工作，進(jìn)一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防范措施，為企業(yè)挽回或減少經(jīng)濟(jì)損失。

針對常見的攻擊事件，結(jié)合工作中應(yīng)急響應(yīng)事件分析和解決的方法，總結(jié)了一些linux服務(wù)器入侵排查的思路。

0x01 入侵排查思路

1.1 賬號安全

基本使用：

1、用戶信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用戶名：密碼：用戶ID：組ID：用戶說明：家目錄：登陸之后shell
注意：無密碼只允許本機(jī)登陸，遠(yuǎn)程不允許登陸
2、影子文件/etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用戶名：加密密碼：密碼最后一次修改日期：兩次密碼的修改時間間隔：密碼有效期：密碼修改到期到的警告天數(shù)：密碼過期之后的寬限天數(shù)：賬號失效時間：保留
who 查看當(dāng)前登錄用戶（tty本地登陸 pts遠(yuǎn)程登錄）
w 查看系統(tǒng)信息，想知道某一時刻用戶的行為
uptime 查看登陸多久、多少用戶，負(fù)載

入侵排查：

1、查詢特權(quán)用戶特權(quán)用戶(uid 為0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
2、查詢可以遠(yuǎn)程登錄的帳號信息
[root@localhost ~]# awk '/$1|$6/{print $1}' /etc/shadow
3、除root帳號外，其他帳號是否存在sudo權(quán)限。如非管理需要，普通帳號應(yīng)刪除sudo權(quán)限
[root@localhost ~]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"
4、禁用或刪除多余及可疑的帳號
 usermod -L user 禁用帳號，帳號無法登錄，/etc/shadow第二欄為!開頭
 userdel user 刪除user用戶
 userdel -r user 將刪除user用戶，并且將/home目錄下的user目錄一并刪除

1.2 歷史命令

基本使用：

通過.bash_history查看帳號執(zhí)行過的系統(tǒng)命令
1、root的歷史命令
histroy
2、打開/home各帳號目錄下的.bash_history，查看普通帳號的歷史命令
為歷史的命令增加登錄的IP地址、執(zhí)行命令時間等信息：
1）保存1萬條命令
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
2）在/etc/profile的文件尾部添加如下行數(shù)配置信息：
######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histAppend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########
3）source /etc/profile讓配置生效
生成效果： 1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile
3、歷史操作命令的清除：history -c
但此命令并不會清除保存在文件中的記錄，因此需要手動刪除.bash_profile文件中的記錄。

入侵排查：

進(jìn)入用戶目錄下
cat .bash_history >> history.txt

1.3 檢查異常端口

使用netstat 網(wǎng)絡(luò)連接命令，分析可疑端口、IP、PID

netstat -antlp|more
查看下pid所對應(yīng)的進(jìn)程文件路徑，
運行l(wèi)s -l /proc/$PID/exe或file /proc/$PID/exe（$PID 為對應(yīng)的pid 號）

1.4 檢查異常進(jìn)程

使用ps命令，分析進(jìn)程

ps aux | grep pid

1.5 檢查開機(jī)啟動項

基本使用：

系統(tǒng)運行級別示意圖：

| 運行級別 | 含義 | | :-----------: | :--------------------------: | | 0 | 關(guān)機(jī) | | 1 | 單用戶模式，可以想象為windows的安全模式，主要用于系統(tǒng)修復(fù) | | 2 | 不完全的命令行模式，不含NFS服務(wù) | | 3 | 完全的命令行模式，就是標(biāo)準(zhǔn)字符界面 | | 4 | 系統(tǒng)保留 | | 5 | 圖形模式 | | 6 | 重啟動 |

查看運行級別命令 runlevel

系統(tǒng)默認(rèn)允許級別

vi /etc/inittab
id=3：initdefault 系統(tǒng)開機(jī)后直接進(jìn)入哪個運行級別

開機(jī)啟動配置文件

/etc/rc.local
/etc/rc.d/rc[0~6].d

例子:當(dāng)我們需要開機(jī)啟動自己的腳本時，只需要將可執(zhí)行腳本丟在/etc/init.d目錄下，然后在/etc/rc.d/rc*.d中建立軟鏈接即可

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此處sshd是具體服務(wù)的腳本文件，S100ssh是其軟鏈接，S開頭代表加載時自啟動；如果是K開頭的腳本文件，代表運行級別加載時需要關(guān)閉的。

入侵排查：

啟動項文件： more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

1.6 檢查定時任務(wù)

基本使用

1、利用crontab創(chuàng)建計劃任務(wù)

• 基本命令

crontab -l 列出某個用戶cron服務(wù)的詳細(xì)內(nèi)容

Tips：默認(rèn)編寫的crontab文件會保存在 (/var/spool/cron/用戶名 例如: /var/spool/cron/root

crontab -r 刪除每個用戶cront任務(wù)(謹(jǐn)慎：刪除所有的計劃任務(wù))

crontab -e 使用編輯器編輯當(dāng)前的crontab文件

如：/1 * * * echo "hello world" >> /tmp/test.txt 每分鐘寫入文件

2、利用anacron實現(xiàn)異步定時任務(wù)調(diào)度

• 使用案例

每天運行 /home/backup.sh腳本： vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh

當(dāng)機(jī)器在 backup.sh 期望被運行時是關(guān)機(jī)的，anacron會在機(jī)器開機(jī)十分鐘之后運行它，而不用再等待 7天。

入侵排查

重點關(guān)注以下目錄中是否存在惡意腳本

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

小技巧：

more /etc/cron.daily/* 查看目錄下所有文件

1.7 檢查服務(wù)

服務(wù)自啟動

第一種修改方法：

chkconfig [--level 運行級別] [獨立服務(wù)名] [on|off]
chkconfig –level 2345 httpd on 開啟自啟動
chkconfig httpd on （默認(rèn)level是2345）

第二種修改方法：

修改/etc/re.d/rc.local 文件 
加入 /etc/init.d/httpd start

第三種修改方法：

使用ntsysv命令管理自啟動，可以管理獨立服務(wù)和xinetd服務(wù)。

入侵排查

1、查詢已安裝的服務(wù)：

RPM包安裝的服務(wù)

chkconfig --list 查看服務(wù)自啟動狀態(tài)，可以看到所有的RPM包安裝的服務(wù)
ps aux | grep crond 查看當(dāng)前服務(wù)
系統(tǒng)在3與5級別下的啟動項 
中文環(huán)境
chkconfig --list | grep "3:啟用|5:啟用"
英文環(huán)境
chkconfig --list | grep "3:on|5:on"

源碼包安裝的服務(wù)

查看服務(wù)安裝位置 ，一般是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/ 查看是否存在

1.8 檢查異常文件

1、查看敏感目錄，如/tmp目錄下的文件，同時注意隱藏文件夾，以“..”為名的文件夾具有隱藏屬性

2、得到發(fā)現(xiàn)WEBSHELL、遠(yuǎn)控木馬的創(chuàng)建時間，如何找出同一時間范圍內(nèi)創(chuàng)建的文件？

? 可以使用find命令來查找，如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前訪問過的文件

3、針對可疑文件可以使用stat進(jìn)行創(chuàng)建修改時間。

1.9 檢查系統(tǒng)日志

日志默認(rèn)存放位置：/var/log/

查看日志配置情況：more /etc/rsyslog.conf

| 日志文件 | 說明 | | :-----------: | :--------------------------: | | /var/log/cron | 記錄了系統(tǒng)定時任務(wù)相關(guān)的日志 | | /var/log/cups | 記錄打印信息的日志 | | /var/log/dmesg | 記錄了系統(tǒng)在開機(jī)時內(nèi)核自檢的信息，也可以使用dmesg命令直接查看內(nèi)核自檢信息 | | /var/log/mailog | 記錄郵件信息 | | /var/log/message | 記錄系統(tǒng)重要信息的日志。這個日志文件中會記錄Linux系統(tǒng)的絕大多數(shù)重要信息，如果系統(tǒng)出現(xiàn)問題時，首先要檢查的就應(yīng)該是這個日志文件 | | /var/log/btmp | 記錄錯誤登錄日志，這個文件是二進(jìn)制文件，不能直接vi查看，而要使用lastb命令查看 | | /var/log/lastlog | 記錄系統(tǒng)中所有用戶最后一次登錄時間的日志，這個文件是二進(jìn)制文件，不能直接vi，而要使用lastlog命令查看 | | /var/log/wtmp | 永久記錄所有用戶的登錄、注銷信息，同時記錄系統(tǒng)的啟動、重啟、關(guān)機(jī)事件。同樣這個文件也是一個二進(jìn)制文件，不能直接vi，而需要使用last命令來查看 | | /var/log/utmp | 記錄當(dāng)前已經(jīng)登錄的用戶信息，這個文件會隨著用戶的登錄和注銷不斷變化，只記錄當(dāng)前登錄用戶的信息。同樣這個文件不能直接vi，而要使用w,who,users等命令來查詢 | | /var/log/secure | 記錄驗證和授權(quán)方面的信息，只要涉及賬號和密碼的程序都會記錄，比如SSH登錄，su切換用戶，sudo授權(quán)，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中 |

日志分析技巧：

1、定位有多少IP在爆破主機(jī)的root帳號： 
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破：
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用戶名字典是什么？
 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr
2、登錄成功的IP有哪些： 
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登錄成功的日期、用戶名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 
3、增加一個用戶kali日志：
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure 
4、刪除用戶kali日志：
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure
5、su切換用戶：
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授權(quán)執(zhí)行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

0x02 工具篇

2.1 Rootkit查殺

• chkrootkit

網(wǎng)址：http://www.chkrootkit.org

~~~ 使用方法： wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar zxvf chkrootkit.tar.gz cd chkrootkit-0.52 make sense #編譯完成沒有報錯的話執(zhí)行檢查 ./chkrootkit ~~~

• rkhunter

網(wǎng)址：http://rkhunter.sourceforge.net

~~~ 使用方法： Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz tar -zxvf rkhunter-1.4.4.tar.gz cd rkhunter-1.4.4 ./installer.sh --install rkhunter -c ~~~

2.2 病毒查殺

• Clamav

ClamAV的官方下載地址為：http://www.clamav.net/download.html

安裝方式一：

~~~ 1、安裝zlib： wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz tar -zxvf zlib-1.2.7.tar.gz cd zlib-1.2.7 #安裝一下gcc編譯環(huán)境： yum install gcc CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/ make && make install

2、添加用戶組clamav和組成員clamav： groupadd clamav useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、安裝Clamav tar –zxvf clamav-0.97.6.tar.gz cd clamav-0.97.6 ./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib make make install

4、配置Clamav mkdir /opt/clamav/logs mkdir /opt/clamav/updata touch /opt/clamav/logs/freshclam.log touch /opt/clamav/logs/clamd.log cd /opt/clamav/logs chown clamav:clamav clamd.log chown clamav:clamav freshclam.log

5、ClamAV 使用： /opt/clamav/bin/freshclam 升級病毒庫 ./clamscan –h 查看相應(yīng)的幫助信息 ./clamscan -r /home 掃描所有用戶的主目錄就使用 ./clamscan -r --bell -i /bin 掃描bin目錄并且顯示有問題的文件的掃描結(jié)果 ~~~

安裝方式二：

~~~ #安裝 yum install -y clamav #更新病毒庫 freshclam #掃描方法 clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log #掃描并殺毒 clamscan -r --remove /usr/bin/bsd-port clamscan -r --remove /usr/bin/ clamscan -r --remove /usr/local/zabbix/sbin #查看日志發(fā)現(xiàn) cat /root/usrclamav.log |grep FOUND ~~~

2.3 webshell查殺

linux版：

河馬webshell查殺：http://www.shellpub.com
深信服Webshell網(wǎng)站后門檢測工具：http://edr.sangfor.com.cn/backdoor_detection.html

2.4 RPM check檢查

? 系統(tǒng)完整性可以通過rpm自帶的-Va來校驗檢查所有的rpm軟件包，查看哪些命令是否被替換了：

./rpm -Va > rpm.log

如果一切均校驗正常將不會產(chǎn)生任何輸出，如果有不一致的地方，就會顯示出來，輸出格式是8位長字符串，每個字符都用以表示文件與RPM數(shù)據(jù)庫中一種屬性的比較結(jié)果 ，如果是. (點) 則表示測試通過。

驗證內(nèi)容中的8個信息的具體內(nèi)容如下：
 S 文件大小是否改變
 M 文件的類型或文件的權(quán)限（rwx）是否被改變
 5 文件MD5校驗是否改變（可以看成文件內(nèi)容是否改變）
 D 設(shè)備中，從代碼是否改變
 L 文件路徑是否改變
 U 文件的屬主（所有者）是否改變
 G 文件的屬組是否改變
 T 文件的修改時間是否改變

如果命令被替換了，如果還原回來：

文件提取還原案例：
rpm -qf /bin/ls 查詢ls命令屬于哪個軟件包
mv /bin/ls /tmp 先把ls轉(zhuǎn)移到tmp目錄下，造成ls命令丟失的假象
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中l(wèi)s命令到當(dāng)前目錄的/bin/ls下
cp /root/bin/ls /bin/ 把ls命令復(fù)制到/bin/目錄 修復(fù)文件丟失

2.5 linux安全檢查腳本

Github項目地址：

https://github.com/grayddq/GScan

https://github.com/ppabc/security_check

https://github.com/T0xst/linux

盡信書不如無書，工具只是輔助，別太過于依賴，關(guān)鍵在于你如何解決問題的思路。