linux入侵检测

入侵排查

查看账号安全：

1、查询特权用户特权用户(uid 为0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息
[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限
[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
Linux是多用户多任务的操作系统, 共享该系统的用户往往不只一个。出于安全性考虑, 有必要通过useradd创建一些非root用户, 只让它们拥有不完全的权限; 如有必要，再来提升权限执行。
　　sudo就是来解决这个需求的: 这些非root用户不需要知道root的密码，就可以提权到root，执行一些root才能执行的命令。
　　执行sudo -u <用户名> <命令>, 将允许当前用户，提权到<用户名>的身份，再执行后面的<命令>, 即使<命令>原本需要root权限。提权到<用户名>身份时，是以<用户名>的身份来执行命令的，因此创建的文件默认属于<用户名>用户。

4、禁用或删除多余及可疑的帐号
    usermod -L user    禁用帐号，帐号无法登录，/etc/shadow 第二栏为 ! 开头
    userdel user       删除 user 用户
    userdel -r user    将删除 user 用户，并且将 /home 目录下的 user 目录一并删除

查看历史命令：

1、root 用户的历史命令
histroy
2、打开 /home 各帐号目录下的查看普通帐号执行的历史命令。
为历史的命令增加登录的 IP 地址、执行命令时间等信息。
进入用户目录下，导出历史命令。 cat .bash_history >> history.txt

检查异常端口

          使用 netstat 网络连接命令，分析可疑端口、IP、PID

     netstat -antlp | more
​
     查看下 pid 所对应的进程文件路径，
     运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID 为对应的 pid 号）

检查异常进程

         使用 ps 命令，分析进程

    ps aux | grep pid 

检查开机启动项

系统运行级别示意图：

运行级别	含义
0	关机
1	单用户模式，可以想象为windows的安全模式，主要用于系统修复
2	不完全的命令行模式，不含NFS服务
3	完全的命令行模式，就是标准字符界面
4	系统保留
5	图形模式
6	重启动

查看运行级别命令 runlevel

系统默认允许级别

vi  /etc/inittab
id=3：initdefault  #系统开机后直接进入哪个运行级别

开机启动配置文件

/etc/rc.local
/etc/rc.d/rc[0~6].d

例子：当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在 /etc/init.d 目录下，然后在 /etc/rc.d/rc*.d 文件中建立软链接即可。

注：此中的 * 代表 0,1,2,3,4,5,6 这七个等级

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此处sshd是具体服务的脚本文件，S100ssh是其软链接，S开头代表加载时自启动；如果是K开头的脚本文件，代表运行级别加载时需要关闭的。

启动项文件：

more /etc/rc.local
/etc/rc.d/rc[0~6].d
ls -l /etc/rc.d/rc3.d/

检查定时任务 80%

1、利用 crontab 创建计划任务

• 基本命令

  crontab -l   列出某个用户cron服务的详细内容
  ​
  Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root
  ​
  crontab -r   删除每个用户cront任务(谨慎：删除所有的计划任务)
  ​
  crontab -e   使用编辑器编辑当前的crontab文件 
  ​
  如：*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件 

          重点关注以下目录中是否存在恶意脚本

           /var/spool/cron/* 
           /etc/crontab
           /etc/cron.d/*
           /etc/cron.daily/* 
           /etc/cron.hourly/* 
           /etc/cron.monthly/*
           /etc/cron.weekly/
           /etc/anacrontab
           /var/spool/anacron/*

                      小技巧：

                      more /etc/cron.daily/*  查看目录下所有文件

检查服务自启动

           第一种修改方法：

                chkconfig [--level 运行级别] [独立服务名] [on|off]
                chkconfig –level  2345 httpd on  开启自启动
                chkconfig httpd on （默认level是2345）

          第二种修改方法：

                 修改 /etc/re.d/rc.local 文件  
                 加入 /etc/init.d/httpd start

         第三种修改方法：

使用 ntsysv 命令管理自启动，可以管理独立服务和 xinetd 服务。

检查异常文件

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性

2、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？

可以使用find命令来查找，如 find /opt -name "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件

3、针对可疑文件可以使用 stat 进行创建修改时间。

检查系统日志

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups	记录打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog	记录邮件信息
/var/log/message	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/btmp	记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/log/utmp	记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
/var/log/secure	记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

 Rootkit查杀

• chkrootkit

  网址：chkrootkit -- locally checks for signs of a rootkit

  使用方法：
  wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
  tar zxvf chkrootkit.tar.gz
  cd chkrootkit-0.52
  make sense
  #编译完成没有报错的话执行检查
  ./chkrootkit

河马 WebShell 查杀：http://www.shellpub.com