linux系统被入侵排查过程

针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Linux 服务器入侵排查的思路。废话少说直奔主题。

 

 

账号排查：

1 、系统用户信息文件 /etc/passwd

root:x:0:0:root:/root:/bin/bash

account:password:UID:GID:GECOS:directory:shell

用户名：密码：用户 ID ：组 ID ：用户说明：家目录：登陆之后 shell

无密码只允许本机登陆，远程不允许登陆

 

2 、影子文件 /etc/shadow

root:$6$JHKdasd78fdsawfH$JKsa8HKdsa7hjq21.jshfHJZK983sjdf.shdaUJHIU

9askjKHD/:16809:0:66666:7:::

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之

后的宽限天数：账号失效时间：保留

 

who 查看当前登录用户（ tty 本地登陆 pts 远程登录）

w 查看系统信息，想知道某一时刻用户的行为

uptime 查看登陆多久、多少用户，负载

 

入侵排查：

1 、查询特权用户特权用户 (uid 为 0)

[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

 

2 、查询可以远程登录的帐号信息

[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

 

3 、除 root 帐号外，其他帐号是否存在 sudo 权限。如非管理需要，普通帐号应删除 sudo 权限

[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

 

4 、禁用或删除多余及可疑的帐号

usermod -L user 禁用帐号，帐号无法登录， /etc/shadow 第二栏为 ! 开头

userdel user 删除 user 用户

userdel -r user 将删除 user 用户，并且将 /home 目录下的 user 目录一并删除

 

history命令：

通过 .bash_history 查看帐号执行过的系统命令

1 、 root 的历史命令

histroy

2 、打开 /home 各帐号目录下的 .bash_history ，查看普通帐号的历史命令

为历史的命令增加登录的 IP 地址、执行命令时间等信息：

1 ）保存 1 万条命令

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

2 ）在 /etc/profile 的文件尾部添加如下行数配置信息：

######history#########

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "

shopt -s histappend

export PROMPT_COMMAND="history -a"

#########history ##########

3 ） source /etc/profile 让配置生效

生成效果： 1 2019-07-06 19:50:01 192.168.xxx.xxx root source /etc/profile

3 、历史操作命令的清除： history -c

但此命令并不会清除保存在文件中的记录，因此需要手动删除 .bash_profile 文件中的记录。

 

入侵排查：

进入用户目录下

cat .bash_history >> history.txt

三、端口

使用 netstat 网络连接命令，分析可疑端口、 IP 、 PID

netstat -antlp|more

查看下 pid 所对应的进程文件路径，

运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe （ $PID 为对应的 pid 号）

四、进程

使用 ps 命令，分析进程

ps aux | grep pid

五、开机启动项

基本使用：

系统运行级:

 

 

 

查看运行级别命令 runlevel

系统默认允许级别

vi /etc/inittab

id=3 ： initdefault 系统开机后直接进入哪个运行级别

 

开机启动配置文件：

/etc/rc.local

/etc/rc.d/rc[0~6].d

 

例子 : 当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在 /etc/init.d 目录下，然后在 /etc/rc.d/rc*.d 中建立软

链接即可

 

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此处 sshd 是具体服务的脚本文件， S100ssh 是其软链接， S 开头代表加载时自启动；如果是 K 开头的脚本文件，代表

运行级别加载时需要关闭的。

 

入侵排查：

启动项文件： more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

六、定时任务

基本使用

1 、利用 crontab 创建计划任务

基本命令

crontab -l 列出某个用户 cron 服务的详细内容

Tips ：默认编写的 crontab 文件会保存在 (/var/spool/cron/ 用户名 例如 : /var/spool/cron/root

crontab -r 删除每个用户 cront 任务 ( 谨慎：删除所有的计划任务 )

crontab -e 使用编辑器编辑当前的 crontab 文件

如： */1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

2 、利用 anacron 实现异步定时任务调度

使用案例

每天运行 /home/backup.sh 脚本： vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh

当机器在 backup.sh 期望被运行时是关机的， anacron 会在机器开机十分钟之后运行它，而不用再等待 7 天。

入侵排查

重点关注以下目录中是否存在恶意脚本

 

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

小技巧：

more /etc/cron.daily/* 查看目录下所有文件

 

七、服务

服务自启动

第一种修改方法：

chkconfig [--level 运行级别 ] [ 独立服务名 ] [on|off]

chkconfig –level 2345 httpd on 开启自启动

chkconfig httpd on （默认 level 是 2345 ）

第二种修改方法：

修改 /etc/re.d/rc.local 文件

加入 /etc/init.d/httpd start

第三种修改方法：

使用 ntsysv 命令管理自启动，可以管理独立服务和 xinetd 服务。

入侵排查

1 、查询已安装的服务：

RPM 包安装的服务

chkconfig --list 查看服务自启动状态，可以看到所有的 RPM 包安装的服务

ps aux | grep crond 查看当前服务

系统在 3 与 5 级别下的启动项

中文环境

chkconfig --list | grep "3: 启用 \|5: 启用 "

英文环境

chkconfig --list | grep "3:on\|5:on"

 

源码安装服务：

查看服务安装位置 ，一般是在 /user/local/

service httpd start

搜索 /etc/rc.d/init.d/ 查看是否存在

 

八、系统日志

日志默认存放位置： /var/log/

查看日志配置情况： more /etc/rsyslog.conf

 

日志分析技巧：

chkconfig --list 查看服务自启动状态，可以看到所有的 RPM 包安装的服务

ps aux | grep crond 查看当前服务

系统在 3 与 5 级别下的启动项

中文环境

chkconfig --list | grep "3: 启用 \|5: 启用 "

英文环境

chkconfig --list | grep "3:on\|5:on"

查看服务安装位置 ，一般是在 /user/local/

service httpd start

搜索 /etc/rc.d/init.d/ 查看是否存在

1 、定位有多少 IP 在爆破主机的 root 帐号：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -

nr | more

定位有哪些 IP 在爆破：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.

(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-

4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么？

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print

"$1\n";}'|uniq -c|sort -nr

2 、登录成功的 IP 有哪些：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

 

登录成功的日期、用户名、 IP ：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3 、增加一个用户 kali 日志：

localhost useradd[2382]: new group: name=kali, GID=1001

localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,

home=/home/kali

, shell=/bin/bash

localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

#grep "useradd" /var/log/secure

4 、删除用户 kali 日志：

localhost userdel[2393]: delete user 'kali'

localhost userdel[2393]: removed group 'kali' owned by 'kali'

localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

# grep "userdel" /var/log/secure

 

5 、 su 切换用户：

localhost su: pam_unix(su-l:session): session opened for user good by

root(uid=0)

sudo 授权执行 :

sudo -l

localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ;

COMMAND=/sbin/shutdown -r now

 

未完待续。。。