Linux入侵排查

jerry-89

于 2024-04-12 13:03:22 发布

阅读量1.1k

点赞数 20

分类专栏： LINUX 文章标签： linux 运维服务器

本文链接：https://blog.csdn.net/eagle89/article/details/137676737

版权

LINUX 专栏收录该内容

59 篇文章 1 订阅

订阅专栏

一、Linux入侵排查思路
1、检测系统的账号安全
查询特权用户
# 查看UID为0的用户，排查可疑新用户
awk -F: '{if($3==0)print $1}' /etc/passwd

查询可以登录的用户
# 查看能够登录的用户
cat /etc/passwd |grep bin/bash
# 查看可以远程登录的账号
awk '/\$1|\$6/{print $1}' /etc/shadow

查看sudo用户列表，除了root账号外，其他账号是否存在sudo权限
# 查询除了root账号外，其他账号是否存在sudo权限（如非管理需要，普通账号应删除sudo权限）
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL) "

查看当前登录用户及登录时长
# 查看系统登录用户，常用命令有：who、w、uptime
who # 查看当前登录用户(tty本地登陆 pts远程登录)
uptime # 查看登陆多久、多少用户，负载状态
w # 显示已经登录系统的所有用户，以及正在执行的命令

查看用户登录信息
# 查看最近登录成功的用户信息
last
# 查看最近登录失败的用户信息
lastb
# 显示所有用户最近一次登录信息
lastlog

禁用或删除多余账号
# 禁用或者删除多余及可疑的账号
usermod -L user # 禁用账号，账号无法登录，/etc/shadow第二栏为!开头
userdel [-r] user # 伤处用户user，参数r表示将/home目录下的用户家目录一并删除

2、检查异常端口或进程
使用netstat命令查看端口连接情况，分析可疑端口、IP、PID等信息

netstat -antlp|more

Local Address(本地地址)，查看有无重要端口被连接，如：22、3306等。
Foreign Address(外部地址)，查看有无常用IP或可疑IP连接，IP可疑使用在线危险情报平台检索，如：微步在线。
PID/Program name(PID/程序名称)，查看是否有可疑程序，如：bash可能为执行反弹shell。

查看PID所对应的进程文件路径

# 查看pid所对应的进程文件路径($PID为对应的pid号)
ls -l | /proc/$PID/exe
file /proc/$PID/exe
# 查看启动命令
ps –ef |grep $PID(效果同 ps aux |grep $PID)
# 查看pid进程启动的环境变量与命令行等信息
ps eho command -p $PID
# 查看pid进程启动时所在的目录
readlink /proc/$PID/cwd

3、检查启动项
有时木马或者病毒等脚本会隐藏在开机启动中，而Linux的启动项是取决于当前用户的运行级别的，查看运行级别命令：runlevel

运行级别   含义
0   关机
1   单用户模式，可以想象为windows的安全模式，主要用于系统修复
2   不完全的命令行模式，不含NFS服务
3   完全的命令行模式，就是标准字符界面
4   系统保留
5   图形模式
6   重新启动
开机启动配置文件

/etc/rc.local # /etc/rc.local是/etc/rc.d/rc.local的软连接
/etc/rc.d/rc[0~6].d # 0~6代表运行级别

当需要开机启动脚本时，将可执行脚本放在/etc/init.d/目录下，接着在/etc/rc.d/rc[0~6].d中建立软链接即可

入侵排查项
排查启动项文件，排查/etc/init.d/目录下是否存在可以的脚本或者文件，也可以排查原来的脚本是否被篡改（对关键文件做hash，然后进行对比）

4、检查系统自启动服务
查看系统的自启动服务，发现可疑服务，立即关停对应的服务

# Centos7 查看自启服务
systemctl list-unit-files --type=service | grep "enabled"
# Centos6 查看自启服务状态
chkconfig --list
# Centos6 查看系统在运行级别为3级和5级下的启动项
chkconfig --list | grep "3:on\|5:on"

5、检查定时任务
入侵系统的黑客一般会使用crontab创建定期任务，如定期下载木马，定期下载挖矿病毒，定期进行内网扫描等等。

crontab命令
crontab -l #列出某个用户cron服务的详细内容
crontab -e #进入crontab任务编辑
crontab -r #删除所有计划任务

anacron命令
Linux系统创建定时任务除了crontab之外，还有一个工具是anacron。anacron是一个异步定时任务调度工具，用来弥补crontab的不足。
入侵排查项
# 重点关注以下目录是否存在恶意脚本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/* # 此目录下存放的是系统级任务的任务文件
/etc/anacrontab # 这个文件存着系统级的任务。它主要用来运行每日的(daily)，每周的(weekly),每月的(monthly)的任务。
/var/spool/anacron/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/

6、检查异常文件
查看敏感目录

发现Webshell、远控木马的创建时间，可以使用find命令来查找，如下命令：

# 找出 /opt 目录下一天前访问过的文件
find /opt -iname "*" -atime 1 -type f
-atime n # 表示查找文件的访问时间距离当前时间为n*24小时以内的文件
-atime +n # 表示查找文件的访问时间距离当前时间超过n*24小时的文件
-atime -n # 表示查找文件的访问时间距离当前时间不超过n*24小时的文件

针对可疑文件可以使用stat查看创建、修改以及访问时间

stat <文件名>

7、检查历史命令
查看当前用户的历史命令

history

查看其他用户的历史命令
打开/home各帐号目录下的.bash_history

cat .bash_history

如果用户的默认shell 是bash，那么bash会记录用户的默认历史记录
/.bash_history记录的是上一次登陆系统所执行过的命令，而当前登陆这一次则保存在内存缓存中，当系统关机/重启后会更新到/.bash_history文件中

清除历史操作命令

# 该命令并不会清楚保存在文件中的记录，需要手动删除~/.bash_history文件中的记录。
history -c

历史命令优化查看

1）增加历史命令查看条数，保存1万条命令配置

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
1
2）增加显示登录的IP和执行命令的时间信息，在/etc/profile的文件尾部添加如下行数配置信息

######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########

使配置生效：source /etc/profile

8、检查系统日志
系统日志默认存放位置：/var/log/

日志文件   说明
/var/log/cron   记录了系统定时任务相关的日志
/var/log/cups   记录打印信息的日志
/var/log/dmesg   记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog   记录邮件信息
/var/log/message   记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/btmp   记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog   记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp   永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/log/utmp   记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w、who、users等命令来查询
/var/log/secure   记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中
二、Linux入侵排查技巧
定位有多少IP在爆破主机的root帐号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

攻击者爆破哪些用户名
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
1
登录成功的IP有哪些
#登录成功的日期、用户名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

系统添加、删除用户的记录和时间
grep "useradd" /var/log/secure
grep "userdel" /var/log/secure

三、Linux入侵排查工具介绍
1、Rootkit查杀
Chkrootkit：http://www.chkrootkit.org
Rkhunter：http://rkhunter.sourceforge.net
2、病毒查杀
ClamAV：官方下载地址为：http://www.clamav.net/download.html
3、Webshell查杀linux版：
河马Webshell查杀：http://www.shellpub.com
4、linux安全检查脚本
https://github.com/grayddq/GScan
https://github.com/ppabc/security_check
https://github.com/T0xst/linux
四、善用威胁情报
威胁情报是识别和分析网络威胁的过程。威胁情报平台可以查出一些域名和IP地址得信誉度，一旦发现它们存在网络攻击痕迹可以迅速封禁。