首页 > 系统相关 >Linux入侵排查

Linux入侵排查

时间:2024-10-25 13:00:34浏览次数:6  
标签:文件 etc 用户 var cron 排查 Linux 入侵 定时

异常网络连接

netstat -anpt

image-20241025095401576

看下本地的重要端口比如22,3306等是否与不认识的外部ip建立连接,可以把外部链接的IP丢威胁情报分析

排查异常ip相关的进程名,比如bash -i等,说明反弹了shell

异常进程

1.查看进程

使用ps aux 或者 ps -ef 查看正在运行的进程,分析异常的进程名

image-20241025095742543

2.查看进程的相关文件

可以分析PID对应的进程文件 ls -l /proc/$PID/exe

image-20241025100340899

或者用lsof -p <pid>

比如发现了80端口是一个异常的进程

image-20241025103416893

lsof -p 26548就可以查看到这个进程的关联文件

image-20241025103520105

使用kill -9 26548 强制结束进程,或者pkill nginxpkill --ns 26548

系统服务

查看自启服务

systemctl list-unit-files --type=service | grep "enabled"

开机启动项

1.开机启动项配置

cat /etc/rc.local	# 是/etc/rc.d/rc.local的软链接

2.各启动级别的执行程序连接目录

ls -l /etc/rc.d/rc[0~6].d	# 数字代表不同的启动级别

image-20241025104847438

定时任务

1.相关文件

  • /etc/crontab,定时任务配置文件,默认只有root权限可以修改

  • /var/spool/cron/,这个目录存放了每个用户的定时任务,每个任务文件以创建定时任务的用户命名

  • /etc/cron.d/,这个目录存放的系统级的定时任务文件

  • /etc/anacrontab,存放系统任务,用来运行每日(daily),每周(weekly),每月(monthly)的定时任务。

  • /etc/cron.hourly/,/etc/cron.daily/,/etc/cron.weekly,/etc/cron.monthly分别存放着每天/每日/每周/每月要执行的定时任务

2.命令

  • crontab -l,查看当前用户的定时任务
  • crontab -e,编辑当前用户的定时任务
  • crontab -r,删除当前用户的定时任务

异常文件

根据时间点查找

find

  • -type d/l/f:指定类型查找,目录/符号链接/普通文件

  • -mtime -n +n:按照文件修改时间查找,-n表示n天内,+n表示n天前

  • -atime -n +n:按照文件访问时间查找

  • -ctime -n +n:按照文件创建时间查找

历史命令

1.查看文件

用户家目录下的.bash_history存放了执行过的命令

cat /home/user/.bash_history

2.命令

输入history命令可以查看执行过的命令列表。

需要注意的是history实时显示当前终端输入的命令,但是.bash_history通常在用户退出终端才会记录进去

history -c ,清除历史记录

系统日志

/var/log/目录下存放着日志文件

文件 描述
/var/log/secure 记录用户登录、sudo授权等安全相关信息
/var/log/btmp 记录所有登陆失败的信息
/var/log/wtmp 记录所有用户登录、退出的信息
/var/log/utmp 记录当前已登录的用户信息s
/var/log/lastlog 记录系统中所有用户最后一次登录时间

待补充...

标签:文件,etc,用户,var,cron,排查,Linux,入侵,定时
From: https://www.cnblogs.com/Mast1n/p/17778124.html

相关文章

  • Linux操作系统切换设置系统语言
    随着工作环境中变化,我们在使用电脑时,可能要使用不同的系统语言环境,那计算机如何切换成我们需要的系统语言呢,针对Linux操作系统,这里有两种方法。一是通过桌面图形化界面切换,这种方法操作起来直观、但是操作复杂。二是通过终端窗口用命令切换,这种方法操作简便,但是对Linux操作系统......
  • Linux进程卡死,如何解决
    ​面对Linux进程卡死的问题,一般按照以下五个步骤进行:1.识别问题,确定进程状态;2.收集进程相关的日志和信息;3.选择合适的工具进行诊断;4.根据诊断结果采取相应的解决方案;5.进程监控和预防策略。首先,要明确是哪个进程出了问题。1.识别问题,确定进程状态当Linux系统运行中的某个进程......
  • Linux_进程理解、状态与优先级(详细版)
    Linux_进程理解、状态与优先级(详细版)1.进程的概念课本概念:程序的一个执行实例,正在执行的程序等。内核观点:担当分配系统资源(CPU时间,内存)的实体。其实:进程=内核的相关管理数据结构(task_struct、页表等)+程序的代码和数据task_struct:是描述进程的结构体,是Linux内核的一种数据......
  • Linux基础——虚机mysql库覆盖/usr/lib64/libcrypto.so.1.1.1f无法启动
    1、问题描述租户新增数据库mysql,手动覆盖/usr/lib64中的libcrypto.so.1.1.1f库文件,导致主机重启进入救援模式。 2、问题分析i.发现报错poweroff:errorwhileloadingsharedlibraries:libcrypto.so.1.1:cannotopensharedobjectfile:Nosuchfileordirectoryii.检......
  • linux系统宝塔面板如何安装ssl证书
    在Linux系统上使用宝塔面板安装SSL证书可以按照以下步骤进行:登录宝塔面板:打开浏览器,输入你的服务器IP地址加上端口号(默认为8888),例如 http://你的服务器IP:8888。使用管理员账号和密码登录宝塔面板。选择网站:登录后,在左侧菜单栏中点击“网站”。在网站列表中找到你想......
  • 阿里云虚拟主机怎么安装宝塔linux面板
    阿里云的虚拟主机不支持直接安装宝塔Linux面板。虚拟主机通常提供的是一个共享的环境,用户没有足够的权限来安装和配置服务器级别的软件,如宝塔面板。如果你需要使用宝塔面板来管理和配置你的网站,可以考虑以下几种替代方案:1.使用阿里云ECS(弹性计算服务)阿里云ECS提供了一个完全可......
  • EOL/Obsolete Operating System: Red Hat Enterprise Linux 7.9 Detected
    Title: EOL/ObsoleteOperatingSystem:RedHatEnterpriseLinux7.9DetectedFirstDetected: 8/6/2024VendorReference: EndofLifeforRedHatEnterpriseLinux7.9Impact: Thesystemisathighriskofbeingexposedtosecurityvulnerabilities.Beca......
  • 【Linux 从基础到进阶】实时性能监控与调优(Prometheus、Grafana)
    实时性能监控与调优(Prometheus、Grafana)在现代化运维中,实时性能监控和调优是保障系统稳定性和高效性的重要手段。通过实时的性能监控,运维人员可以快速发现系统瓶颈、异常负载和潜在的故障隐患。本文将介绍如何使用Prometheus和Grafana进行系统的实时性能监控,并进行性能调优......
  • 【2024最新】黑客入侵测试工具大全(超详细),收藏这一篇就够了!
    所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。除非您已充分阅读、完全理解......
  • 基于 Koa + Vue3!一个开源的 Linux 服务器 Web SSH 面板工具!
    大家好,我是Java陈序员。今天,给大家介绍一个Linux服务器WebSSH连接面板工具,基于Koa+Vue3实现!关注微信公众号:【Java陈序员】,获取开源项目分享、AI副业分享、超200本经典计算机电子书籍等。项目介绍EasyNode——一个客户端基于Vue3、服务端基于Koa实现的Linux......