1.排查账号
进行linux应急响应,首先你得优先查看是否多出来了管理员
(1)查询特权用户特权用户(uid 为0)
awk -F: '$3==0{print $1}' /etc/passwd
(2)查询进行远程链接的账号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
(3)排查其余账号是否拥有sudo权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
若你的账户出现了:
%admin ALL=(ALL) ALL
那就证明你的服务器开设了很大权限给别的用户,所有账户都有sudo的权限,那就必须尽快修改。
(4)删除可疑账号命令:
userdel user
2.历史排查
在linux应急响应中,如果你的服务器没有多出来的账户,那就再查看一手历史命令
# 清空历史命令并清空当前登录会话执行命令
echo > $home./bash_history
虽然大概率历史命令都会被黑客排查出来删除(上述),但是万一黑客没注意历史命令呢?
查看历史命令:
history
保存历史命令:
进入用户目录下
cat .bash_history >> history.txt
3.进程排查
经过了前两步的排查,只能说黑客隐藏的很好,此时应该进行进程排查:
ps aux | grep pid
进程排查非常重要,
若是发现有某些特别大的未知进程,比较烧CPU的,那就证明你的服务器可能已经被拉去挖矿了
4.端口排查
sudo netstat -an # 显示所有当前的网络连接(包括TCP和UDP)
sudo lsof -i :端口号 # 查看占用特定端口号的进程情况
5.查看系统日志
系统日志中也会记录用户的登录活动和执行的命令。关键的日志文件通常位于/var/log
目录下,重点审核的系统日志:
cat /var/log/auth.log # 查看认证日志,记录用户的登录和退出
cat /var/log/utmp
#记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登
录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询
cat /var/log/secure
记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换
用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。
cat /var/log/message
记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系
统出现问题时,首先要检查的就应该是这个日志文件
这里着重查看用户的登录/var/log/secure活动和执行的命令,可以查看到攻击的地方,可以更好地排查。
但是这块通常会被黑客重点关注:
truncate -s 0 logfile.log
来一条这个命令估计就老实了,直接把文件日志清空,但是这个动静比较大,一般都是把近一个小时内的系统文件日志删除:
(1). 查找指定时间范围内的日志文件
使用find
命令查找特定时间范围内修改过的文件,例如查找60分钟(1小时)内修改过的文件:
sudo find /var/log -type f -mmin -60
/var/log
:这里是日志文件通常存储的目录,具体路径可能因系统而异。-type f
:表示只查找普通文件,排除目录和特殊文件。-mmin -60
:表示查找60分钟内修改过的文件。使用-mmin -60
表示60分钟内,使用-mmin +60
表示60分钟前。
(2). 删除找到的日志文件
一旦确认找到了需要删除的日志文件,可以将find
命令与rm
命令结合,进行文件删除操作。
sudo find /var/log -type f -mmin -60 -exec rm {} \;
这条命令会删除/var/log目录下60分钟内修改过的所有普通文件。使用-exec rm {} \;
表示对找到的每一个文件执行rm
命令。
通过上面的例子:我只是想说linux的排查必须得全面且周全,因为无论历史命令或者文件日志都是可以进行删除的,文件也可以进行隐藏,所以必须细致。
6.自启动排查:
systemctl list-unit-files | grep enabled
7.异常文件排查
1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性
2、得到发现webshell以后可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件
3、针对可疑文件可以使用stat进行创建修改时间。
8.病毒查杀(工具)
ClamAV的官方下载地址为:http://www.clamav.net/download.html
使用方式:
/opt/clamav/bin/clamscan -r /
扫描计算机上的所有文件并且显示所有的文件的扫描结果
这里强烈建议使用图形化界面,
ClamTK Virus Scanner
ClamTK本身不是病毒扫描程序,它是一个易于使用的图形界面,用于Linux的ClamAV反病毒
当然还有:
Armadito
Armadito是适用于Windows和Linux的病毒扫描程序,它通过扫描包括恶意软件,特洛伊木马等在内的多种攻击来保护你的计算机。
参考:小雨淅淅o0------<<linux病毒扫描工具ClamAV使用>>
最后,希望文章对各位有所帮助,谢谢!