一、账号
1.检查弱口令
检查系统账户、数据库账户、网站后台管理员等账户是否存在弱口令
登陆后查看是否存在未设置密码的账户
more /etc/passwd
2.检查账号安全
用户排查
cat /etc/passwd,查看用户文件,检查有无新增账号(新增账号默认在最下方)
root:x:0:0:root:/root:/bin/bash
用户名:密码占位符:用户ID:组ID:用户说明:家目录:登录之后shell
密码排查
cat /etc/shadow,查看最后一次密码修改时间为近期的用户
用户名:加密密码:密码最后一次修改日期(距离 1970-1-1的天数):密码最短有效期(几天内不能再次修改密码):密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间.
加密密码分为三部分用$分隔
第一部分表示用哪种哈希算法
第二部分是用于加密哈希的salt
第三部分是已加密的哈希哈希算法:1表示 MD5;6表示 SHA-512;5表示 SHA-256
密码前一个感叹号(!)代表该用户被锁定,可以在机器上转到该用户,但无法远程
密码前两个感叹号(!),表示没有设置密码
管理员组有无新增账号
查询uid为0的用户
awk -F: "$3--0{print $1)' /etc/passwd
具有远程登录权限的账号
awk'/$1|\$6/{print $1}' /etc/shadow
具有sudo权限的账号
more /etc/sudoers | grep -v "^#\|^$"| grep "ALL=(ALL)"
除 root帐号外,其他帐号是如非管理需要,应删除sudo权限
检查登录记录
last 查看近期登录成功记录
登陆用户 pts/0(虚拟终端) 登陆IP地址(0表示本地登陆) 登陆开始时间到登陆结束时间
lastb 查看登录失败记录
失败用户 ssh:notty(登录失败) IP地址 尝试登陆时间
检查有无异常IP登录
less /yar/log/secure l grep 'Accepted'
检查账号的历史命令
cat /用户/.bash_history
二、异常端口,进程
端口
查看异常端口及网络连接
netstat -antlp 分析可以端口、IP、PID
查看PID对应的进程文件路径
ls -l /proc/PID/exe
或 file /proc/PID/exe
进程
静态查看:pa aux
a
: 显示所有用户的进程,包括其他用户的进程。-
u
: 以用户为基础显示详细信息,包括用户名、进程ID、CPU利用率、内存使用等。 -
x
: 显示没有控制终端的进程。
pstree -p (树状显示)
top 动态(持续监控)进程,可以监视系统性能,如平均负载,cpu和内存的消耗
杀掉进程
ps -9 PID
三、开机启动项
chkconfig --list
cat /etc/rc.local
如发现恶意启动项,chkconfig 服务名 off 进行关闭,同时检查/etc/rc.local有无异常,有就注释掉
service --status-all (Debain ,+表示加入了开机自启动,-表示没加入)
四、定时任务
/yar/spool /cron /etc/cron.d /etc/crontab
/etc/cron.hourly /etc/cron.weekly /etc/cron.daily/ /etc/cron.monthly
/var/spool/anacron /etc/anacrontab
五、敏感目录及文件
敏感目录
如/tmp目录下的文件,同时注意隐藏文件
ls -a 列出隐藏文件
近期修改过的文件
查找一天之内修改过的文件(sh php jsp asp等)
find / -type f -mtime -1 l grep *jsp 将 jsp替换为其他文件类型即可
可疑文件
根据文件名特征查找
grep -rni "xmrig"*
在tmp下查看是否存在可疑文件。
六、web各目录权限
如无特殊原因,web 网站下所有目录除管理员外均应设置为只读权限
ls -l
drwxr-xr-- r读 w写 x执行
d(文件类型)rwx(用户自身权限)r-x(用户所在组的权限)r-x(其他人的权限)
七、系统日志
1、 /var/log/gron 记录了系统定时任务相关的日志
2、/var/log/cups 记录打印信息的日志
3 、/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
4、/var/log/mailog 记录邮件信息
5 、/var/log/message 记录系统重要信息的日志。这个日志文件中会记录 Lnux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
6、/yar/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接查看,而要使用lastb命令查看
7、/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
8 、/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用1ast命今来查看
9/yar/log/utmp 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用last命令来查询
10、/var/log/secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,切换用户,甚至添加用户和修改用户密码都会记录在这个日志文件中
11、/var/log/httpd/或/var/log/apache2包含服务器access.log和 error.Iog 信息
八、webshell查杀
河马查杀软件
九、系统命令
有时黑客会修改系统默认命令,查看系统命令是否被修改
busybox 工具 https://busybox.net/
十、漏洞
漏扫工具及手工测试潜在漏洞并及时修复