Linux手工入侵排查思路是怎樣的

Linux手工入侵排查思路是怎樣的，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

當Linux主機發生安全事件需要進行入侵排查時，一般可以使用常見的shell命令，通過分析主機的異常現象、進程端口、啟動方式、可疑文件和日志記錄等信息以確認主機是否被入侵。

01、檢查系統賬號

從攻擊者的角度來說，入侵者在入侵成功后，往往會留下后門以便再次訪問被入侵的系統，而創建系統賬號是一種比較常見的后門方式。在做入侵排查的時候，用戶配置文件/etc/passwd和密碼配置文件/etc/shadow是需要去重點關注的地方。

(1)查詢特權用戶特權用戶(uid 為0)

awk -F: '$3==0{print $1}' /etc/passwd

(2)查詢可以遠程登錄的帳號信息

awk '/\$1|\$6/{print $1}' /etc/shadow

(3)除root帳號外，其他帳號是否存在sudo權限。如非管理需要，普通帳號應刪除sudo權限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

(4)禁用或刪除多余及可疑的帳號

usermod -L user    禁用帳號，帳號無法登錄，/etc/shadow第二欄為!開頭 userdel user       刪除user用戶 userdel -r user    將刪除user用戶，并且將/home目錄下的user目錄一并刪除

(5)當前登錄當前系統的用戶信息

who     查看當前登錄用戶（tty本地登陸  pts遠程登錄） w       查看系統信息，想知道某一時刻用戶的行為 uptime  查看登陸多久、多少用戶，負載

02、檢查異常端口

(1)使用netstat 網絡連接命令，分析可疑端口、IP、PID等信息。

netstat -antlp|more

(2)如發現異常的網絡連接需要持續觀察，可抓包分析

tcpdump -c 10 -q //精簡模式顯示 10個包

03、檢查可疑進程

(1)使用ps命令列出系統中當前運行的那些進程，分析異常的進程名、PID，可疑的命令行等。

ps aux / ps -ef

(2)通過top命令顯示系統中各個進程的資源占用狀況，如發現資源占用過高

top

(3)如發現異常，可使用一下命令進一步排查：

查看該進程啟動的完整命令行: ps eho command -p $PID 查看該進程啟動時候所在的目錄: readlink /proc/$PID/cwd 查看下pid所對應的進程文件路徑：ls -l /proc/$PID/exe 查看該進程啟動時的完整環境變量: strings -f /proc/1461/environ | cut -f2 -d '' 列出該進程所打開的所有文件: lsof -p $PID

04、檢查系統服務

Linux系統服務管理，CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。

(1)對于systemd服務管理器來說，可以通過下述方式查看開機自啟的服務:

systemctl list-unit-files --type=service | grep "enabled"

(2)chkconfig就是CentOS6以前用來控制系統服務的工具，查看服務自啟動狀態：

chkconfig  --list   chkconfig --list | grep "3:on\|5:on"

05、檢查開機啟動項

(1)檢查啟動項腳本

more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

(2)例子:當我們需要開機啟動自己的腳本時，只需要將可執行腳本丟在/etc/init.d目錄下，然后在/etc/rc.d/rc*.d中建立軟鏈接即可

ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此處sshd是具體服務的腳本文件，S100ssh是其軟鏈接，S開頭代表加載時自啟動;如果是K開頭的腳本文件，代表運行級別加載時需要關閉的。

06、檢查計劃任務

利用計劃任務進行權限維持，可作為一種持久性機制被入侵者利用。檢查異常的計劃任務，需要重點關注以下目錄中是否存在惡意腳本。

/var/spool/cron/*  /etc/crontab /etc/cron.d/* /etc/cron.daily/*  /etc/cron.hourly/*  /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*

07、檢查異常文件

1、查看敏感目錄，如/tmp目錄下的文件，同時注意隱藏文件夾，以“..”為名的文件夾具有隱藏屬性

2、得到發現WEBSHELL、遠控木馬的創建時間，如何找出同一時間范圍內創建的文件?

可以使用find命令來查找，如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前訪問過的文件

3、針對可疑文件可以使用stat進行創建修改時間。

08、檢查歷史命令

一般而言，入侵者獲取shell之后，會執行一些系統命令從而在主機上留下痕跡，我們可以通過history命令查詢shell命令的執行歷史。

(1)查詢某個用戶在系統上執行了什么命令

使用root用戶登錄系統，檢查/home目錄下的用戶主目錄的.bash_history文件

(2)默認情況下，系統可以保存1000條的歷史命令，并不記錄命令執行的時間，根據需要進行安全加固。

a)保存1萬條命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g'  /etc/profileb)在/etc/profile的文件尾部添加如下行數配置信息：######jiagu history  xianshi#########USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e  's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport  HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport  PROMPT_COMMAND="history -a"######### jiagu history xianshi ##########c)source  /etc/profile讓配置生效

09、檢查系統日志

在Linux上一般跟系統相關的日志默認都會放到/var/log下面，若是一旦出現問題，用戶就可以通過查看日志來迅速定位，及時解決問題。常用日志文件如下：

/var/log/btmp：記錄錯誤登錄日志，這個文件是二進制文件，不能直接vi查看，而要使用lastb命令查看。/var/log/lastlog：記錄系統中所有用戶最后一次登錄時間的日志，這個文件是二進制文件，不能直接vi，而要使用lastlog命令查看。/var/log/wtmp：永久記錄所有用戶的登錄、注銷信息，同時記錄系統的啟動、重啟、關機事件。同樣這個文件也是一個二進制文件，不能直接vi，而需要使用last命令來查看。/var/log/utmp：記錄當前已經登錄的用戶信息，這個文件會隨著用戶的登錄和注銷不斷變化，只記錄當前登錄用戶的信息。同樣這個文件不能直接vi，而要使用w,who,users等命令來查詢。/var/log/secure：記錄驗證和授權方面的信息，只要涉及賬號和密碼的程序都會記錄，比如SSH登錄，su切換用戶，sudo授權，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中

一般，我們需要重點去關注secure安全日志，檢查系統錯誤登陸日志，統計IP重試次數，成功登錄的時間、用戶名和ip，確認賬號是否存在暴力破解或異常登錄的情況。

1、定位有多少IP在爆破主機的root帳號：grep "Failed password for root" /var/log/secure | awk  '{print $11}' | sort | uniq -c | sort -nr | more定位有哪些IP在爆破：grep "Failed  password" /var/log/secure|grep -E -o  "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq  -c爆破用戶名字典是什么? grep "Failed password" /var/log/secure|perl -e  'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort  -nr2、登錄成功的IP有哪些：grep "Accepted " /var/log/secure | awk '{print $11}' | sort |  uniq -c | sort -nr | more登錄成功的日期、用戶名、IP：grep "Accepted " /var/log/secure | awk  '{print $1,$2,$3,$9,$11}'

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。