Linux环境下黑客入侵排查步骤-量子哈希

在线wifi跑包金刚包跑包 cap跑包 hccapx ewsa在线就来 握手包跑包

各位好又见面了我是曹操今天给大家带来一篇新的教程

希望各位细心学习低调用网

1、用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell
注意：无密码只允许本机登陆，远程不允许登陆
2、影子文件/etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留
who 查看当前登录用户（tty本地登陆 pts远程登录）
w 查看系统信息，想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户，负载

0x00 前言

当企业发生黑客入侵、系统崩溃或其他影响业务正常运行的安全事件时，需要第一时间进行处理，以使企业的网络信息系统在最短时间内恢复正常工作。同时，需要进一步查找入侵来源，还原入侵事故过程，并提供解决方案和防范措施，以挽回或减少经济损失。

针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Linux服务器入侵排查的思路。

0x01 入侵排查思路

1.1 账号安全

基本使用：

1、查询特权用户特权用户(uid 为0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
2、查询可以远程登录的帐号信息
[root@localhost ~]# awk '/$1|$6/{print $1}' /etc/shadow
3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限
[root@localhost ~]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"
4、禁用或删除多余及可疑的帐号
 usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头
 userdel user 删除user用户
 userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

入侵排查：

通过.bash_history查看帐号执行过的系统命令
1、root的历史命令
histroy
2、打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令
为历史的命令增加登录的IP地址、执行命令时间等信息：
1）保存1万条命令
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
2）在/etc/profile的文件尾部添加如下行数配置信息：
######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########
3）source /etc/profile让配置生效
生成效果： 1 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile
3、历史操作命令的清除：history -c
但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。

进入用户目录下
cat .bash_history >> history.txt

netstat -antlp|more
查看下pid所对应的进程文件路径，
运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

kali怎么查攻击端口

ps aux | grep pid

vi /etc/inittab
id=3：initdefault 系统开机后直接进入哪个运行级别

1.2 历史命令

基本使用：

入侵排查：

1.3 检查异常端口

使用netstat网络连接命令，分析可疑端口、IP、PID

1.4 检查异常进程

使用ps命令，分析进程

1.5 检查开机启动项

基本使用：

系统运行级别示意图：

| 运行级别 | 含义 |
| :——: | :—: |
| 0 | 关机 |
| 1 | 单用户模式，用于系统修复 |
| 2 | 不完全的命令行模式，不含NFS服务 |
| 3 | 完全的命令行模式，标准字符界面 |
| 4 | 系统保留 |
| 5 | 图形模式 |
| 6 | 重启动 |

查看运行级别命令：runlevel

系统默认允许级别：

/etc/rc.local
/etc/rc.d/rc[0~6].d

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

kali怎么查攻击端口

开机启动配置文件例子：

当需要开机启动自己的脚本时，只需将可执行脚本放在/etc/init.d目录下，然后在/etc/rc.d/rc*.d中建立软链接即可。例如，sshd是具体服务的脚本文件，S100ssh是其软链接。以S开头代表加载时自启动；如果是以K开头的脚本文件，代表运行级别加载时需要关闭的。

入侵排查：

启动项文件：

more /etc/rc.local
/etc/rc.d/rc[0~6].d
ls -l /etc/rc.d/rc3.d/

1.6 检查定时任务

基本使用：

利用crontab创建计划任务

crontab -l 列出某个用户cron服务的详细内容
crontab -r 删除每个用户cront任务（谨慎：删除所有的计划任务）
crontab -e 使用编辑器编辑当前的crontab文件

例如：/1 * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

利用anacron实现异步定时任务调度
每天运行/home/backup.sh脚本：

vi /etc/anacrontab
@daily 10 example.daily /bin/bash /home/backup.sh

当机器在backup.sh期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待7天。

入侵排查：

重点关注以下目录中是否存在恶意脚本：

more /etc/cron.daily/* 查看目录下所有文件

kali怎么查攻击端口

chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level 2345 httpd on 开启自启动
chkconfig httpd on （默认level是2345）

修改/etc/re.d/rc.local 文件 
加入 /etc/init.d/httpd start

chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务
系统在3与5级别下的启动项 
中文环境
chkconfig --list | grep "3:启用|5:启用"
英文环境
chkconfig --list | grep "3:on|5:on"

小技巧：

1.7 检查服务

服务自启动

第一种修改方法：

第二种修改方法：

第三种修改方法：

使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务。

入侵排查：

查询已安装的服务：RPM包安装的服务

查看服务安装位置 ，一般是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/ 查看是否存在

kali怎么查攻击端口

源码包安装的服务

1.8 检查异常文件

查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性
得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？

可以使用find命令来查找，例如：find /opt -iname "*" -atime 1 -type f 找出/opt下一天前访问过的文件

针对可疑文件可以使用stat进行创建修改时间。

1.9 检查系统日志

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

日志分析技巧：

0x02 工具篇

2.1 Rootkit查杀

使用方法：

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense #编译完成没有报错的话执行检查
./chkrootkit

使用方法：

Wget
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

2.2 病毒查杀

ClamAV的官方下载地址为：

安装方式一：

1、安装zlib：
wget
tar -zxvf zlib-1.2.7.tar.gz
cd zlib-1.2.7
yum install gcc
CFLAGS="-O3 -fPIC" ./configure --prefix=/usr/local/zlib/
make && make install

2、添加用户组clamav和组成员clamav：
groupadd clamav
useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、安装Clamav
tar –zxvf clamav-0.97.6.tar.gz
cd clamav-0.97.6
./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib
make
make install

4、配置Clamav
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
touch /opt/clamav/logs/freshclam.log
touch /opt/clamav/logs/clamd.log
cd /opt/clamav/logs
chown clamav:clamav clamd.log
chown clamav:clamav freshclam.log

5、ClamAV 使用：
/opt/clamav/bin/freshclam 升级病毒库
./clamscan –h 查看相应的帮助信息
./clamscan -r /home 扫描所有用户的主目录
./clamscan -r --bell -i /bin 扫描bin目录并显示有问题的文件的扫描结果

安装方式二：

#安装
yum install -y clamav
#更新病毒库
freshclam
#扫描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
#扫描并杀毒
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
clamscan -r --remove /usr/local/zabbix/sbin
#查看日志发现
cat /root/usrclamav.log | grep FOUND

2.3 webshell查杀

Linux版：

./rpm -Va > rpm.log

验证内容中的8个信息的具体内容如下：
 S 文件大小是否改变
 M 文件的类型或文件的权限（rwx）是否被改变
 5 文件MD5校验是否改变（可以看成文件内容是否改变）
 D 设备中，从代码是否改变
 L 文件路径是否改变
 U 文件的属主（所有者）是否改变
 G 文件的属组是否改变
 T 文件的修改时间是否改变

2.4 RPM check检查

系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：

如果一切校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果，如果是.（点）则表示测试通过。

Linux环境下黑客入侵排查步骤

1.1 账号安全

1.2 历史命令

1.3 检查异常端口

1.4 检查异常进程

1.5 检查开机启动项

1.6 检查定时任务

1.7 检查服务

1.8 检查异常文件

1.9 检查系统日志

2.1 Rootkit查杀

2.2 病毒查杀

2.3 webshell查杀

2.4 RPM check检查

相关推荐

曹操wifi

随机推荐