Linux入侵排查时安全工具整理

2021-04-22 14:57:47 浏览数 (1)

Linux入侵排查时安全工具整理

近期有协助网友排查一次Linux云主机中了挖矿病毒的情况:

(图片可放大查看)

溯源排查基本步骤可以参考这篇经典文章

《Linux 应急响应入门:入侵排查应该这样做》

网上类似这样文章我也收藏了一些,都总结得非常不错

  • 1、《linux 溯源命令集合-主机层(持续更新)》 https://cloud.tencent.com/developer/article/1779284
  • 2、《从一次攻击溯源中暴露的安全问题》 https://cloud.tencent.com/developer/article/1796933
  • 3、《入侵溯源难点和云溯源体系建设》 https://cloud.tencent.com/developer/article/1802807
  • 4、《一篇文章说清楚 Linux 应急响应技巧》 https://cloud.tencent.com/developer/article/1558918
  • 5、《Linux 应急响应流程及实战演练》 https://cloud.tencent.com/developer/article/1355030
  • 6、《Linux应急响应之工具篇》 https://cloud.tencent.com/developer/article/1449023

当然应对Linux入侵时我们也可以使用一些自动化的安全工具协助排查溯源 并进行安全加固

之前也有发过CentOS安全加固的几篇文章

【分享】非常全面的CentOS7系统安全检测和加固脚本

CentOS7一键安全加固及系统优化脚本

【CentOS7操作系统安全加固系列】第(1)篇

【CentOS7操作系统安全加固】第(2)篇

【CentOS7操作系统安全加固系列】第(3)篇

【CentOS7操作系统安全加固系列】第(4)篇

【CentOS7操作系统安全加固系列】第(5)篇

【CentOS7操作系统安全加固系列】第(6)篇

也介绍过lynis安全基线检查工具

CentOS7下使用开源安全审计工具Lynis

下面介绍近期我所接触过的几款Linux安全工具

1、GScan

GScan程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。

作者:咚咚呛

代码语言:javascript复制
下载地址
https://github.com/grayddq/GScan

(图片可放大查看)

代码语言:javascript复制
-h --help 查看帮助
python GScan.py -h

(图片可放大查看)

(图片可放大查看)

代码语言:javascript复制
根据异常风险生成初步的处理方案
python GScan.py --pro

(图片可放大查看)

(图片可放大查看)

代码语言:javascript复制
启用完全扫描
python GScan.py --full

(图片可放大查看)

2、rkhunter

1)rkhunter简介

rkhunter也叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。

rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。

rootkit主要有两种类型:文件级别和内核级别。

  • 1、文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。
  • 2、内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范为主。

2、rkhunter的安装与使用

1)、配置EPEL源后安装rkhunter

代码语言:python代码运行次数:0复制
yum install rkhunter

(图片可放大查看)

代码语言:javascript复制
vi /etc/sysconfig/rkhunter
DIAG_SCAN=no修改为yes

(图片可放大查看)

2)、在线升级rkhunter 的rootkit木马库

代码语言:javascript复制
rkhunter --update

3)、为基本系统程序建立校对样本

建议系统安装完成后就建立

代码语言:javascript复制
rkhunter --propupd

#样本文件位置 /var/lib/rkhunter/db/rkhunter.dat

4)、执行检测命令

如果不想要每个部分都按 Enter 键来继续,想要让程序自动持续执行,可以使用 --sk参数, --skip-keypress

代码语言:javascript复制
rkhunter --check --sk

(图片可放大查看)

(图片可放大查看)

(图片可放大查看)

3、ClamAV

ClamAV(Clam AntiVirus)是Linux平台上的开源病毒扫描程序,主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库

(图片可放大查看)

(图片可放大查看)

1)配置EPEL源后安装ClamAV

代码语言:javascript复制
yum install clamav

(图片可放大查看)

2)更新病毒库

代码语言:javascript复制
freshclam

(图片可放大查看)

3)clamscan扫描

代码语言:javascript复制
clamscan -r -i /  -l /var/log/clamav.log

(图片可放大查看)

(图片可放大查看)

linux centos 移动应用安全 https 安全

0 人点赞