排查Linux服务器是否被入侵步骤

最新推荐文章于 2024-07-05 11:42:17 发布
最新推荐文章于 2024-07-05 11:42:17 发布
阅读量1.5k 收藏 3
点赞数 2
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rendongxingzhe/article/details/127975830
版权

作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,以下是结合centos7.9操作系统进行排查Linux操作系统是否被入侵,其他Linux发行版的操作类似

1.入侵者可能会删除机器的日志信息

可以查看日志信息是否还存在或者是否被清空,相关命令

[root@master01 ~]# ls /var/log/*
/var/log/boot.log           /var/log/dmesg.old           /var/log/messages-20221113  /var/log/vmware-network.1.log
/var/log/btmp               /var/log/maillog             /var/log/secure-20221113    /var/log/vmware-vmsvc.3.log
/var/log/cron               /var/log/maillog-20221106    /var/log/spooler            /var/log/wtmp
/var/log/dmesg              /var/log/messages-20221106   /var/log/tallylog

[root@master01 ~]# du -sh /var/log/
183M    /var/log/
[root@master01 ~]# du -sh /var/log/*
2.6M    /var/log/anaconda
39M    /var/log/audit
0    /var/log/boot.log
20K    /var/log/boot.log-20200417
12K    /var/log/boot.log-20200816
24K    /var/log/boot.log-20220216
12K    /var/log/boot.log-20221001
8.0K    /var/log/btmp
2.入侵者可能创建一个新的存放用户名及密码文件

可以查看/etc/passwd及/etc/shadow文件,相关命令:

[root@master01 ~]# ll /etc/pass*
-rw-r--r--. 1 root root 1022 Jan 25  2022 /etc/passwd
-rw-r--r--. 1 root root  986 Apr 16  2020 /etc/passwd-

[root@master01 ~]# ll /etc/shado*
----------. 1 root root 653 Nov 15 10:33 /etc/shadow
----------. 1 root root 634 May  5  2020 /etc/shadow-

3.入侵者可能修改用户名及密码文件

可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,看看是否有异常用户,相关命令:

[root@master01 ~]# more /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
[root@master01 ~]# more /etc/shadow
root:$6$67Tijq/P$AcFLf9.4334pEKLAc1jFWTYzzLp92.qAl2El5MSZEjfm8YsW.3m3I1C7Oi.SMntqIUQr4eF.Fcm.EVfbdDEWf0:19311:0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
adm:*:17834:0:99999:7:::
lp:*:17834:0:99999:7:::

4.查看机器最近成功登陆的事件和最后一次不成功的登陆事

对应日志“/var/log/lastlog”,相关命令:

[root@master01 ~]# last
root     pts/0        10.3.180.178     Tue Nov 22 08:27   still logged in   
root     pts/0        10.0.252.47      Sat Nov 19 22:52 - 14:23  (15:31)    
root     pts/0        10.0.252.47      Sat Nov 19 04:49 - 22:52  (18:02)    
root     pts/0        10.3.180.178     Fri Nov 18 14:51 - 14:54  (00:02)    
root     pts/1        10.3.180.178     Fri Nov 18 14:51 - 14:51  (00:00)    
root     pts/1        10.3.180.178     Fri Nov 18 13:45 - 14:45  (00:59)

5.查看机器当前登录的全部用户

对应日志文件“/var/run/utmp”,相关命令

[root@master01 ~]# who
root     pts/0        2022-11-22 08:27 (10.3.180.178)

6.查看机器创建以来登陆过的用户

对应日志文件“/var/log/wtmp”,相关命令

[root@master01 ~]# last
root     pts/0        10.3.180.178     Tue Nov 22 08:27   still logged in   
root     pts/0        10.0.252.47      Sat Nov 19 22:52 - 14:23  (15:31)    
root     pts/0        10.0.252.47      Sat Nov 19 04:49 - 22:52  (18:02)    
root     pts/0        10.3.180.178     Fri Nov 18 14:51 - 14:54  (00:02)    
root     pts/1        10.3.180.178     Fri Nov 18 14:51 - 14:51  (00:00)    
root     pts/1        10.3.180.178     Fri Nov 18 13:45 - 14:45  (00:59)

7.查看机器所有用户的连接时间(小时)

对应日志文件“/var/log/wtmp”,相关命令

[root@master01 ~]# ac -dp | more
    root                                28.89
Apr 16    total       28.89
    root                               151.58
Apr 19    total      151.58
    root                                52.11
Apr 20    total       52.11
    root                                62.00
Apr 21    total       62.00
    root                                60.41

备注:如果操作系统提示没有ac命令,centos系统可以通过命令 yum install psacct安装

8.如果发现机器产生了异常流量

可以使用命令“tcpdump”抓取网络包查看流量情况或者使用工具”iperf”查看流量情况。

tcpdump命令可以重点学习一下,这个单独讲解,通过流量分析异常问题虽说比较难,但是可以定位到深层次的网络问题

9.可以查看/var/log/secure日志文件

尝试发现入侵者的信息,相关命令

[root@master01 ~]# cat /var/log/secure | grep -i "accepted"
Nov 22 08:27:02 master01 sshd[17081]: Accepted publickey for root from 10.3.180.178 port 62392 ssh2: RSA SHA256:KdRyYMK79OVOE5pIc5fTp9kW0YyA9eyydEPyevqYGVY

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

top

b.在虚拟文件系统目录查找该进程的可执行文件

ll /proc/PID/ | grep -i exe  #PID要替换成真实的PID数字

忍冬行者
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux入侵排查
shangMD01的博客
12-17 1706
1.1账号安全 账号入侵排查 查询特权用户特权用户(uid 为0): 查询可以远程登录的帐号信息: awk '/\$1|\$6/{print $1}' /etc/shadow 除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限: more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 禁用或删除多余及可疑的帐号: usermod -L user 禁用帐号,帐号无法登录,/e...
排查Linux机器是否已经被入侵.doc
08-13
本文将深入探讨如何排查Linux机器是否已经被入侵,这对于任何Linux运维工程师来说都是必备技能。 首先,检查日志信息是识别异常活动的关键步骤日志文件通常记录了系统的所有活动,包括登陆尝试、系统错误、网络...
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 1535
Linux服务器安全基础 - 查看入侵痕迹
linux服务器攻击日志分析
最新发布
m0_54512200的博客
07-05 785
/awk -F指定域分隔符为’:',将记录按指定的域分隔符划分域,填充域,•$0则表示所有域,目前登录用户信息:/var/run/utmp //w、who、users。最后一次登录:/var/log/lastlog //lastlog。即显示1000~2999行。登录失败记录:/var/log/btmp //lastb。登录成功记录: /var/log/wtmp //last。登录日志记录:/var/log/secure。5、只是显示/etc/passwd的账户。日志默认存放位置:/var/log/
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1253
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
Linux 系统被黑客入侵!怎么排查
leah126的博客
01-05 1264
我在清空文件/etc/ld.so.preload 之后,我发现好了一会后,还是出现这个,我再看 /etc/ld.so.preload 文件,里面又写了/usr/local/lib/libprocesshider.so,我怀疑还有定时任务,但是我找了一会定时任务,还是没有找到。所以不能操作下去了。最后耗费了一段时间才反应到,入侵者可能不仅仅加锁了文件还加锁了/usr/bin/。朋友处理了一会没有解决,我开始想说我不是搞安全的,我怎么会,但朋友开出了天价,一顿海底捞,我在生活和现实面前低头了,开始上手看看了。
Linux攻击排查
YangLuxxx123
06-23 1250
入侵排查 1.2 历史命令 1.3 检查端口 1.4 检查异常进程 1.5 检查卡机启动项 运行级别 含义 0 关机 1 单用户模式,可以想象为windows的安全模式,主要用于系统修复 2 不完全的命令行模式,不含NFS服务 3 完全的命令行模式,就是标准字符界面 4 系统保留 5 图形模式 6 重启动 查看运行状态 入侵排查 1.6 检查定时任务 [linux下crontab与anacrontab的使用 ]crond 常用参数anacron 异步定时
11个步骤完美排查服务器是否已经被入侵.doc
08-24
服务器安全是 Linux 运维工程师的头等大事,以下是 11 个步骤完美排查服务器是否已经被入侵的详细信息: 步骤 1: 查看日志信息 入侵者可能会删除机器的日志信息,查看日志信息是否还存在或者是否被清空。相关命令...
php实现Linux服务器木马排查及加固功能
10-24
在网络安全日益重要的今天,PHP实现Linux服务器木马排查...通过上述步骤,我们可以显著提高Linux服务器的安全性,降低被挂马的风险。然而,安全工作是持续的过程,需要定期评估和调整策略,以应对不断演变的网络威胁。
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
本篇文章将深入探讨Windows、Linux以及Web日志分析和相关入侵排查的知识点。 首先,我们来看Windows日志分析。Windows操作系统提供了事件查看器(Event Viewer)工具,它收集并记录了系统、应用程序、安全、设置和...
Linux下安装snort入侵检测系统
08-05
Snort 是一款强大的开源网络入侵检测系统(IDS),它基于 libpcap 库,可以在多种操作系统上运行,包括 Linux。其主要功能是监控网络流量,通过匹配预定义的规则来识别潜在的攻击行为。Snort 不仅能进行模式匹配,还...
Linux系统采用netstat命令查看DDOS攻击的方法
dianlei9877的博客
07-11 281
Linux系统采用netstat命令查看DDOS攻击的方法 来源:互联网 作者:佚名 时间:07-05 15:10:21 【大 中 小】 这篇文章主要为大家介绍了Linux系统采用netstat命令查看DDOS攻击的方法,对于网络安全而言非常重要!需要的朋友可以参考下 Linux系统用netstat命令查看DDOS攻击具体命令用法如下: 复...
透析Linux日志查***
weixin_34301132的博客
05-26 153
日志对于网络安全来说无疑是非常重要的,它记录了系统每天发生的各种各样的事,你可以通过它来检查错误发生的原因,或者受到***后***者留下的痕迹。日志主要的功能有审计和监测,同时它也可以实时的监测系统状态,监测***者。 日志子系统分类 在Linux系统中,有三个主要的日志子系统: 连接时间日志——由多个程序执行,把纪录写入到/var/log/Wtmp和/var...
如何判断 Linux 服务器是否入侵排查病毒方法
yuer629
10-24 2708
啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否入侵
Linux入侵排查深入分析查找入侵原因
Climbman的博客
06-23 1153
入侵检测排查,运行 /etc/init.d/sshd restart(Centos7以下)或 systemctl restart sshd(Centos7及其以上)或 /etc/init.d/ssh restart(Debian/Ubuntu)命令重启使配置生效。检查说明:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。针对个别目录设置可写权限。
快速自检电脑是否被黑客入侵过(Linux版)
12-25 480
前言 严谨地说, Linux只是一个内核, `GNU Linux`才算完整的操作系统, 但在本文里还是用通俗的叫法, 把`Ubuntu`,`Debian`,`RedHat`,`CentOS`,`ArchLinux`等发行版都统称为`Linux`. 本文里所说的方法不仅对Linux的发行版适用, 部分方法对`Mac OSX`操作系统也是适用的. 异常的帐号和权限 如果黑客曾经获得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

忍冬行者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值