linux入侵排查步骤

2022-03-25 18:43:15 浏览数 (2)

Linux入侵排查步骤

一:查看异常的进程

a、查看cpu占用最多的进程

代码语言:javascript复制
运行top命令 交互式P键会根据CPU的占用大小进行排序
代码语言:javascript复制
有的时候会遇到top之后cpu显示特别的低,但是服务器还特别的卡,有可能是隐藏进程占
代码语言:javascript复制
用了CPU,可以使用unhide或者busybox查看是否有隐藏的进程
代码语言:javascript复制
b、占用内存最多的进程
代码语言:javascript复制
运行top命令 交互式M键会根据MEM的占用大小进行排序
代码语言:javascript复制
c、查找进程文件的位置
代码语言:javascript复制
ls -la /proc/$pid/exe 
代码语言:javascript复制
有的时候会遇到文件被删除了,可以dump出来检测是否是病毒木马 readlink /proc/$pid/exe  cat /proc/$pid/exe > 1.txt
代码语言:javascript复制
Dump下来上传到virustotal检查是否是病毒或者木马
代码语言:javascript复制
https://www.virustotal.com/gui/home/upload
代码语言:javascript复制
二:查看异常的端口ip
代码语言:javascript复制
netstat -tunlp | grep -E -i“est|lis”
代码语言:javascript复制
熟悉自己业务的人有经验的人一眼就能看出ip或者端口是否有问题,可以通过微步https://x.threatbook.cn/ 检测ip 
代码语言:javascript复制
三:查看是否有异常的定时任务
代码语言:javascript复制
Crontab -l
代码语言:javascript复制
cront相关目录:/etc/cron.d/、/etc/cron.daily/、/etc/cron.monthly/、/etc/hourly/、/etc/weekly/、 /etc/crontab、/etc/anacrontab、 /var/spool/ancron/、 /var/spool/cron/
代码语言:javascript复制
查看账号是否有定时任务:cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
代码语言:javascript复制
有的时候我们删除定时任务,过一会一看任务就又有了很大可能是

/etc/ld.so.preload 被加载了木马so文件,需要先清理ld.so.preload 动态加载项

代码语言:javascript复制
四:账号列表
代码语言:javascript复制
查看/etc/passwd、/etc/shadow、/etc/group是否有异常的账号
代码语言:javascript复制
五:查看是否有异常登录
代码语言:javascript复制
Lastlog 显示所有用户最近的登录信息  /var/log/lastlog
代码语言:javascript复制
Last 列出截止目前登录过系统的用户信息
代码语言:javascript复制
W  查看当前的登录账号信息
代码语言:javascript复制
可以通过/var/log/secure文件 查看登录成功、失败等信息
代码语言:javascript复制
六:查看最近一段时间被修改的文件
代码语言:javascript复制
查找入侵时间点修改的文件
find / -type f -newermt "2022-03-25 15:39" ! -newermt "2022-03-25 15:41"
代码语言:javascript复制
命令替换
rpm -Va | grep 命令绝对路径  /usr/bin  usr/sbin  /usr/local/bin /usr/local/sbin
代码语言:javascript复制
七:查找敏感目录下是否有异常的文件或者隐藏文件
代码语言:javascript复制
/root、/home、/tmp /var/tmp、/etc/init.d/
代码语言:javascript复制
/root 下的.bashrc.bash_profile.bash_logout.ssh下的host,authorized_keys是否有异常。
代码语言:javascript复制
异常文件删除的时候有的时候会报:rm: cannot remove ‘1’: Operation not permitted
代码语言:javascript复制
有可能文件被加了ia锁,lsattr查看文件是否加锁,chattr解锁。
代码语言:javascript复制
例如:find /root -type f -exec lsattr {} ;  查看root目录下所有文件。
代码语言:javascript复制
find /root -type f -exec chattr -ai {} ; 去掉ia锁
代码语言:javascript复制
有的时候去不掉,可以确认下目录是否加了ia锁或者使用busybox chattr 进行解锁
代码语言:javascript复制
八: 异常开机启动项
代码语言:javascript复制
/etc/rc.local
代码语言:javascript复制
/etc/rc.d/
代码语言:javascript复制
/etc/rc.[0..6]d/
代码语言:javascript复制
Chkconfig --list
代码语言:javascript复制
九:服务删除之后过了一会又起来了
代码语言:javascript复制
a、ps -axu 看是否有wget对外的异常链接
代码语言:javascript复制
b、/etc/systemd/system/multi-user.target.wants 是否有服务的软连接
代码语言:javascript复制
c、可以先kill -STOP $id 先禁止然后在进行排查
代码语言:javascript复制
服务器要做好安全加固避免被入侵,尤其是重要的数据要做好备份避免被加密勒索。
代码语言:javascript复制
a、定期安装系统补丁
代码语言:javascript复制
b、安全组仅对外开放业务端口
代码语言:javascript复制
c、定期做镜像、快照备份
代码语言:javascript复制
d、不要安装来源不明软件
代码语言:javascript复制
e、使用含有数字、大小写字母、特殊符号的密码

0 人点赞