首页 > 系统相关 >入侵排查之Linux

入侵排查之Linux

时间:2024-11-12 16:44:05浏览次数:3  
标签:登录 查看 命令 用户 排查 Linux 入侵 2.2 2.1

目录

1.黑客入侵后的利用思路

2.入侵排查思路

2.1.账号安全

2.1.1.用户信息文件/etc/passwd

2.1.2.影子文件/etc/shadow

2.1.3.入侵排查

2.1.3.1.排查当前系统登录信息

2.1.4.2.查询可以远程登录的账号信息

2.2.历史命令

2.2.1.基本使用

2.2.1.1.root历史命令

2.2.1.2.打开/home各账号目录下的.bash_history,查看普通账号的历史命令

2.2.1.3.历史操作命令清除

2.2.2.入侵排查

2.3.检查异常端口

2.4.检查异常进程

2.5.检查开机启动项

2.5.1.基本使用

2.5.1.1.系统运行级别示意图

2.5.1.3.开机启动配置文件

2.5.1.4.脚本开机自启案例

2.5.2.入侵排查

2.6.检查定时任务

2.6.1.使用crontab创建计划任务

2.6.1.1.基本命令

2.6.1.2.利用anacron实现异步定时任务调度

2.6.2.入侵排查

2.7.检查服务

2.7.1.服务自启动

2.7.1.1.第一种修改方法

2.7.1.2.第二种修改方法

2.7.2.入侵排查

2.8.检查异常文件

2.9.1.linux系统日志默认存放路径

2.9.2.常见服务的日志文件路径

2.9.3.日志分析技巧

2.9.3.1.定位有多少IP在爆破主机的root账号

2.9.3.2.登录成功的IP有哪些

2.9.3.3.增加一个用户kali日志

3.1.Rootkit查杀

3.1.1.chkrootkit

3.1.1.1.下载

3.1.1.2.使用方法

3.1.2.rkhunter

3.1.2.1.下载

3.1.2.2.使用方法

3.2.病毒查杀clamav

3.2.1.下载地址

3.2.2.安装

3.2.2.1.安装方式1

3.2.2.2.安装方式2

3.3.webshell查杀

3.4.linux安装检查脚本


1.黑客入侵后的利用思路

黑客入侵后的利用思路可以包括以下几个方面:

  1. 篡改网页:查找对应网站首页文件路径、查看文件时间、内容。
  2. 创建超级用户:查看password、shadow文件时间、内容;查看登录成功时间和不成功事件查看机器当前登录的全部用户;查看机器创建以来登陆过的用户;查看机器所有用户的连接时间(小时);查看历史命令;查看ssh远程连接情况:黑客删除登录日志文件(rm -rf /var/log/secure)、防守者恢复被黑客删除的文件(lsof grep /var/log/secure)
  3. 挖矿:查询异常进程所对应的执行脚本文件 ,top命令查看异常进程对应的PID
  4. 内网渗透:攻击者利用防守:反弹shell、植入cs/ms木马;防守思路:查看异常流量;使用tcpdump抓取网络包查看流量情况

2.入侵排查思路

2.1.账号安全

2.1.1.用户信息文件/etc/passwd

检查是否存在异常用户或未知用户。

关注用户权限设置,特别是特权用户(如root)。

root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名:密码:用户ID:组id:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登录,不允许远程登录

2.1.2.影子文件/etc/shadow

影子文件存储了用户的加密密码信息。

检查密码字段是否被篡改或存在异常。

注意:直接查看/etc/shadow文件需要root权限,且出于安全考虑,通常不会直接显示密码哈希值。

root:$6$oGLFhf899ckdeMC2p3ZetrE$X485ouEWFSEmSgsWEH78423UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到警告天数:密码过期之后的宽限天数:账号失效时间:保留

2.1.3.入侵排查

2.1.3.1.排查当前系统登录信息

使用whow命令查看当前登录用户。

awk文本处理工具,用于模式扫描和处理语言

who   		#查看当前登录用户(tty表示本地登录,pts远程登录)
w     		#查看系统信息,想知道某一时刻用户的行为
uptime  	#查看登录多久、多少用户、负载
awk -F: '$3==0{print $1}' /etc/passwd
-F来指定分隔符,默认的字段分隔符是任意空白字符(空格或者TAB)
awk的数据字段变量:
      $0表示整行文本
      $1表示文本中第一个数据字段
      $2表示文本中第二个数据字段
      $n表示文本中第n个数据字段
      awk的用-F来指定分隔符
awk命令的完整语法:
	awk ‘BEGIN{commands}pattern{commands}END{commands}’ file1
			BEGIN是处理数据前执行的命令,END是处理数据后执行的命令,commands指的是awk里			面的子命令,并不是shell中的mkdir、ls等命令
2.1.4.2.查询可以远程登录的账号信息

检查/etc/ssh/sshd_config文件中的AllowUsersDenyUsers设置

grep -E '^AllowUsers|^DenyUsers' /etc/ssh/sshd_config
 awk '/\$1|\$6/{print $1}' /etc/shadow

除root账号外,其他账号是否存在sudo权限,如非管理需要,普通账号应删除sudo权限。

 more /etc/sudoers |grep -v "^#|^$" |grep "ALL=(ALL)"
usermod -L user   #禁用账号,账号无法登录,/etc/shadow第二栏为!开头
userdel user      #删除user用户
userdel -r user   #将删除user用户,并且将/home目录下的user目录一并删除

2.2.历史命令

2.2.1.基本使用

2.2.1.1.root历史命令
history 

使用history命令查看root用户的历史命令。

2.2.1.2.打开/home各账号目录下的.bash_history,查看普通账号的历史命令

为历史的命令增加登录的IP地址、执行命令时间等信息。将username替换为具体用户的用户名。

cat /home/username/.bash_history
2.2.1.3.历史操作命令清除

清除当前shell会话的历史记录,要清除所有用户的历史记录,可以删除每个用户主目录下的.bash_history文件。

history -c  #此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录

2.2.2.入侵排查

检查历史命令中是否存在异常操作,如未知命令、系统修改命令等

进入用户目录下:

cat .bash_history >> history.txt

2.3.检查异常端口

使用netstatss命令检查当前系统开放的端口,分析可疑端口、ip、PID

netstat -antlp|more
# 或
ss -tuln

关注非标准端口和未知服务的端口

2.4.检查异常进程

使用ps命令查看当前系统中的进程。

标签:登录,查看,命令,用户,排查,Linux,入侵,2.2,2.1
From: https://blog.csdn.net/m0_64455070/article/details/143702030

相关文章

  • 支付宝接口代签约失败排查指南
    作为服务商,需要协助没有开发能力的商家接入业务产品和开发应用的载体,经常要用到支付宝的接口代签约功能,然而在使用过程中若是遇到失败的情况,就会让本来是为了提升效率的功能反而拖慢了项目进度,今天我就来简单盘一盘接口代签约失败问题的排查思路,帮助同学快速定位问题原因,效率......
  • atop——监控Linux系统资源与进程的工具(非内部程序,需安装)
    转自于:https://github.com/jaywcjlove/linux-command,后不赘述atop监控Linux系统资源与进程的工具补充说明[非内部程序,需要安装]它以一定的频率记录系统的运行状态,所采集的数据包含系统资源(CPU、内存、磁盘和网络)使用情况和进程运行情况,并能以日志文件的方式保存在磁盘中,服......
  • linux下oracle数据库重起
    切换到Oracle用户,使用SQLPlus作为系统管理员关闭和启动数据库,查看和重启监听进程。使用lsnrctl工具管理监听,检查状态。1、切换到oracle用户,进入sql命令窗口su-oraclesqlplus/assysdba2、关闭数据库shutdownimmediate;关掉exit退出3、查看......
  • Linux各种作死故障与修复方法,全面复盘全程高能,系统级故障救援经验汇总
     来自:https://www.cnblogs.com/liulianzhen99/p/17543477.html 原文连接:https://mp.weixin.qq.com/s/l_D3-jm4JWPIz3DecrRUyw1linux启动过程启动过程分析启动级别init0,init3,init5init6。systemd服务管理。systemd导致系统反复重启:2磁盘与分区配置文件磁盘UU......
  • 在Linux中使用Nginx和Docker进行项目部署
    前言随着云计算和微服务架构的发展,容器化技术如Docker变得越来越重要。本篇文章将向大家介绍如何在Linux操作系统中使用Nginx作为Web服务器,并结合Docker容器化技术来部署一个简单的Web应用。通过本文,你将学会基本的Linux命令、Nginx的安装与配置,以及如何使用Docker进行应用部......
  • Linux磁盘分区
    文章目录磁盘分区......
  • Linux 6.13 将提供对一系列 Pre-M1 苹果设备的基本支持
    虽然不像苹果M3/M4设备支持上游主线Linux内核那样令人兴奋,但对于那些拥有一些较旧的苹果(M1之前)设备的用户来说,即将发布的Linux6.13内核将支持一些较旧的SoC和板卡。即将到来的Linux6.13合并窗口将支持大量旧版AppleSoC和板卡,但这只是最基本/初始形式的支持......
  • 熟悉常用的Linux操作和Hadoop操作
    1.熟悉常用的Linux操作 1)`cd`命令:切换目录-(1)切换到目录`/usr/local`: ```bash cd/usr/local ```-(2)切换到当前目录的上一级目录: ```bash cd.. ```-(3)切换到当前登录Linux系统的用户的主文件夹: ```bash cd~ ``` 2)`ls`命令:查看文件......
  • SonarQube 10.5 for macOS, Linux, Windows 下载 - 代码质量、安全与静态分析工具
    SonarQube10.5(macOS,Linux,Windows)-代码质量、安全与静态分析工具SonarQubeDataCenterEdition(JavaAppformacOS,Linux,Windows)请访问原文链接:https://sysin.org/blog/sonarqube-10/查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgSonarCleanCo......
  • Linux核心文件
    Linux常见核心文件文件说明/etc/hostname主机名/etc/os-release系统版本信息【1】、查看linux基本信息面试题:你拿到一个linux后一般做什么?检查,优化主机名ip系统版本内核版本。。。。1、查看与修改主机名xu@xu-ubuntu:~$hostnamectl......