Linux入侵排查篇———

已于 2024-07-10 15:43:45 修改
阅读量512 收藏 5
点赞数 9
分类专栏: 应急响应 文章标签: linux 运维 服务器 安全 网络安全
于 2024-05-31 02:09:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55762309/article/details/139332263
版权

目录

Linux入侵排查方法

敏感目录的文件分析

新增文件分析

特殊权限的文件

隐藏的文件

查看分析用户相关分析

系统路径分析

指定信息检索

查看ssh相关有无可疑的公钥存在。

查询特权用户特权用户(uid  为0)

查询可以远程登录的账号信息

禁用或删除多余及可疑的账号

Linux入侵排查方法

  • 敏感目录的文件分析

  • (类/tmp目录,命令目录/usr/bin   /usr/sbin)
    • 例如:
    • 查看tmp目录下的文件:ls  -alt  /tmp/
    • 查看指定目录下文件时间的排序:ls  -alt   |  head  -n 10
    • 查看开机启动项内容:ls  -alt  /etc/init.d/

针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,

若修改时间距离时间日期接近,有限性关联,说明可能被篡改或者其他。

  • 新增文件分析

    • 例如:
    • 查找24小时内被修改的JSP文件:find ./mtime 0 -name ".jsp"
    • 查找72小时内新增的文件  find /  -ctime -2
    • tip:   -ctime 内容为该百年权限改变时候也可以查出
    • 根据确定时间去反推变更的文件
    • ls  -al  /tmp   |  grep  "Feb 27"

  • 特殊权限的文件

    • 查找权限为777的文件,  find   / *.jsp  -perm  4777

  • 隐藏的文件

    • 以“.”开头的具有隐藏属性的文件

  • 在文件分析的过程中,手工排查频率较高的命令是  find  grep  ls
  • 核心目的是为了关联推理出可疑文件。

  • 使用ls以及stat查看系统命令是否被替换
  • 两种思路:
    • 第一种:查看命令目录最近的时间排序
    • 第二种:根据确定时间去匹配

  • 查看分析用户相关分析

    • useradd  userdel的命令时间变化(stat),以及是否包含可疑信息
    • cat  /etc/passwd  分析可疑账号,可登录账号

  • 系统路径分析

    • echo  $PATH     分析有无敏感可疑信息

  • 指定信息检索

    • strings命令在对象文件或二进制文件中查找可打印的字符串
    • 分析sshd文件,是否包括IP信息strings   /usr/bin/.sshd   |  egrep  '[-9]{1,3}\.[1-9]{1,3}\.'
    • 根据关键字匹配命令内是否包含信息(如IP地址、时间信息、远控信息、木马特征、代号名称)

  • 查看ssh相关有无可疑的公钥存在。

    • Redis(6379)  未授权恶意入侵,即可直接通过Redis到目标主机导入公钥。
    • 目录:  /etc/ssh    ./ssh/ 

  • 查询特权用户特权用户(uid  为0)

    • awk  -F:    '$3==0{print  $1}'   /etc/passwd

  • 查询可以远程登录的账号信息

    • awk '/$1|$6/{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 1}̲' /etc/shadow 3…" | grep “ALL=(ALL)”

  • 禁用或删除多余及可疑的账号

    • usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
    • userdel user 删除user用户
    • userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
三七怪鸽
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux入侵排查
shangMD01的博客
12-17 1707
1.1账号安全 账号入侵排查 查询特权用户特权用户(uid 为0): 查询可以远程登录的帐号信息: awk '/\$1|\$6/{print $1}' /etc/shadow 除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限: more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 禁用或删除多余及可疑的帐号: usermod -L user 禁用帐号,帐号无法登录,/e...
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1253
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查 Linux 应急响应入门——入侵排查是指在 Linux 系统中检测和响应入侵活动的技术和方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术和应用场景。 一、...
权限提升-linux提权手法总结.zip
05-08
以下是对"权限提升——Linux提权手法总结"的详细说明: 1. **缓冲区溢出(Buffer Overflow)**:这是经典的提权漏洞。当程序处理用户输入时,如果没有正确检查边界,可能会导致内存溢出,从而覆盖函数返回地址,...
高性能Linux服务器构建实战 系统安全、故障排查、自动化运维与集群架构 [高俊峰著]
12-15
《高性能Linux服务器构建实战——系统安全、故障排查、自动化运维与集群架构》是高俊峰先生的一本专著,深入探讨了如何构建和优化Linux服务器,以实现高性能、高可用性和高安全性。这本书覆盖了多个关键领域,对于...
基于Linux下的网络监听技术.pdf
09-06
Linux中,网络接口设备(如网卡)有两种工作模式——正常模式和混杂模式。正常模式下,网卡只接收那些目标地址与本机地址一致或广播的数据帧。而在混杂模式下,网卡接收所有在网络接口上传输的数据帧,这为网络...
排查SELinux故障.docx
09-27
#### 二、SELinux故障排查工具——Setroubleshoot - **安装Setroubleshoot**:在某些情况下,如CentOS 5.5版本,可能需要手动安装此工具。可以使用命令`yum install setroubleshoot`来安装。 - **功能介绍**: - *...
Linux 入侵排查
m0_63853512的博客
04-18 408
linux应急响应
排查linux系统是否被入侵
weixin_34248487的博客
01-03 111
在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一下如何检查linux系统是否遭受了入侵? 一、是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@b...
Linux入侵排查思路
最新发布
2302_80462925的博客
07-01 1402
ls -l /proc/指定pid/exe 或者 ls -l /proc/指定pid/file。查看账号情况,这个运维会比较清楚,寻找是否存在可以账号,特别关注远程连接的账号。使用history -c清除历史命令,好似清干净了,其实并不是的。/sbin/nologin 是不允许登陆,即便有密码也不行。),找到路径如果确定是恶意的,可以杀除。默认的是1000我这里修改成了5000。/bin/bash 是我远程登陆的。完全的命令行模式,就是标准字符界面。的安全模式,主要用于系统修复。不完全的命令行模式,不含。
排查Linux服务器是否被入侵步骤
rendongxingzhe的博客
11-22 1578
Linux操作系统安全排查Linux服务器是否被入侵步骤
Linux入侵排查深入分析查找入侵原因
Climbman的博客
06-23 1153
入侵检测排查,运行 /etc/init.d/sshd restart(Centos7以下)或 systemctl restart sshd(Centos7及其以上)或 /etc/init.d/ssh restart(Debian/Ubuntu)命令重启使配置生效。检查说明:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。针对个别目录设置可写权限。
溯源(三)之Linux-入侵排查
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-23 1481
etc/passwd 是我们在排查Linux系统异常账号时需要去排查的,在排查异常账号时要注意异常账号的uid是不是0,因为攻击者常常会把新增加的账号uid设为0,以此来获得同root用户相同的权限,同时nologin也是我们需要重点排查的一个地方,nologin代表用户从来没有登陆过,如果出现了其他的,需要注意一下。由于操作系统的不同,Windows是图形化的界面,而Linux是命令行的界面,在Linux系统中,如果我们要去入侵排查,筛选,也只能用命令去执行。这样可以查看日志文件中最多的IP。
linux密码被入侵,11个步骤完美排查Linux机器是否已经被入侵
weixin_35982453的博客
05-06 569
原标题:11个步骤完美排查Linux机器是否已经被入侵随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: 2...
Linux手工入侵排查思路
04-19 692
Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。在这里,结合工作...
linux入侵排查思路
04-24
首先,入侵排查需要对系统日志、网络流量、进程等进行全面的监控和分析。可以通过以下几种方式来排查入侵: 1. 分析系统日志:通过查看日志文件,寻找可疑的行为或异常情况,如登录失败、系统崩溃等。同时,需要定期备份与归档日志文件,以便进行后续的分析和审计。 2. 检查进程和服务:通过查看系统进程和服务、端口和流量等,判断是否有不正常的进程或服务在运行,或者是否有不正常的流量或访问行为等。 3. 检查系统漏洞和弱口令:通过扫描系统漏洞和弱口令,发现系统存在的漏洞,及时进行修复。建议使用强密码和定期更换密码等方式,以增强系统安全性。 4. 使用安全工具:可以使用各种安全工具,如IDS/IPS、防火墙、安全日志管理系统等,以增强系统安全性,并及时发现和防御入侵行为。 综上所述,入侵排查需要全面的监控和分析,结合各种安全工具和策略,以保障系统安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三七怪鸽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值