Linux入侵排查步骤
一:查看异常的进程
a、查看cpu占用最多的进程
代码语言:javascript复制运行top命令 交互式P键会根据CPU的占用大小进行排序有的时候会遇到top之后cpu显示特别的低,但是服务器还特别的卡,有可能是隐藏进程占用了CPU,可以使用unhide或者busybox查看是否有隐藏的进程b、占用内存最多的进程运行top命令 交互式M键会根据MEM的占用大小进行排序c、查找进程文件的位置ls -la /proc/$pid/exe 有的时候会遇到文件被删除了,可以dump出来检测是否是病毒木马 readlink /proc/$pid/exe cat /proc/$pid/exe > 1.txtDump下来上传到virustotal检查是否是病毒或者木马https://www.virustotal.com/gui/home/upload二:查看异常的端口ipnetstat -tunlp | grep -E -i“est|lis”熟悉自己业务的人有经验的人一眼就能看出ip或者端口是否有问题,可以通过微步https://x.threatbook.cn/ 检测ip 三:查看是否有异常的定时任务Crontab -lcront相关目录:/etc/cron.d/、/etc/cron.daily/、/etc/cron.monthly/、/etc/hourly/、/etc/weekly/、 /etc/crontab、/etc/anacrontab、 /var/spool/ancron/、 /var/spool/cron/查看账号是否有定时任务:cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}有的时候我们删除定时任务,过一会一看任务就又有了很大可能是/etc/ld.so.preload 被加载了木马so文件,需要先清理ld.so.preload 动态加载项
代码语言:javascript复制四:账号列表查看/etc/passwd、/etc/shadow、/etc/group是否有异常的账号五:查看是否有异常登录Lastlog 显示所有用户最近的登录信息 /var/log/lastlogLast 列出截止目前登录过系统的用户信息W 查看当前的登录账号信息可以通过/var/log/secure文件 查看登录成功、失败等信息六:查看最近一段时间被修改的文件查找入侵时间点修改的文件
find / -type f -newermt "2022-03-25 15:39" ! -newermt "2022-03-25 15:41"命令替换
rpm -Va | grep 命令绝对路径 /usr/bin usr/sbin /usr/local/bin /usr/local/sbin七:查找敏感目录下是否有异常的文件或者隐藏文件/root、/home、/tmp /var/tmp、/etc/init.d//root 下的.bashrc.bash_profile.bash_logout.ssh下的host,authorized_keys是否有异常。异常文件删除的时候有的时候会报:rm: cannot remove ‘1’: Operation not permitted有可能文件被加了ia锁,lsattr查看文件是否加锁,chattr解锁。例如:find /root -type f -exec lsattr {} ; 查看root目录下所有文件。find /root -type f -exec chattr -ai {} ; 去掉ia锁有的时候去不掉,可以确认下目录是否加了ia锁或者使用busybox chattr 进行解锁八: 异常开机启动项/etc/rc.local/etc/rc.d//etc/rc.[0..6]d/Chkconfig --list九:服务删除之后过了一会又起来了a、ps -axu 看是否有wget对外的异常链接b、/etc/systemd/system/multi-user.target.wants 是否有服务的软连接c、可以先kill -STOP $id 先禁止然后在进行排查服务器要做好安全加固避免被入侵,尤其是重要的数据要做好备份避免被加密勒索。a、定期安装系统补丁b、安全组仅对外开放业务端口c、定期做镜像、快照备份d、不要安装来源不明软件e、使用含有数字、大小写字母、特殊符号的密码
