11個步驟完美排查Linux機器是否已經被入侵

Linux雲端計算資料自學發表於2018-11-22

640?


隨著開源產品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑑別異常機器是否已經被入侵了顯得至關重要,個人結合自己的工作經歷,整理了幾種常見的機器被黑情況供參考:


背景資訊:以下情況是在CentOS 6.9的系統中檢視的,其它Linux發行版類似。


1入侵者可能會刪除機器的日誌資訊


可以檢視日誌資訊是否還存在或者是否被清空,相關命令示例:

640?wx_fmt=png


2入侵者可能建立一個新的存放使用者名稱及密碼檔案


可以檢視/etc/passwd及/etc/shadow檔案,相關命令示例:

640?wx_fmt=png


3入侵者可能修改使用者名稱及密碼檔案


可以檢視/etc/passwd及/etc/shadow檔案內容進行鑑別,相關命令示例:

640?wx_fmt=png


4檢視機器最近成功登陸的事件和最後一次不成功的登陸事件


對應日誌“/var/log/lastlog”,相關命令示例:

640?wx_fmt=png


5檢視機器當前登入的全部使用者


對應日誌檔案“/var/run/utmp”,相關命令示例:

640?wx_fmt=png


6檢視器建立以來登陸過的使用者


對應日誌檔案“/var/log/wtmp”,相關命令示例:

640?wx_fmt=png


7檢視機器所有使用者的連線時間(小時)


對應日誌檔案“/var/log/wtmp”,相關命令示例:

640?wx_fmt=png


8如果發現機器產生了異常流量


可以使用命令“tcpdump”抓取網路包檢視流量情況或者使用工具”iperf”檢視流量情況


9可以檢視/var/log/secure日誌檔案


嘗試發現入侵者的資訊,相關命令示例:

640?wx_fmt=png


10查詢異常程式所對應的執行指令碼檔案


a.top命令檢視異常程式對應的PID

640?wx_fmt=png


b.在虛擬檔案系統目錄查詢該程式的可執行檔案

640?wx_fmt=png


11如果確認機器已被入侵,重要檔案已被刪除,可以嘗試找回被刪除的檔案Note:


1>當程式開啟了某個檔案時,只要該程式保持開啟該檔案,即使將其刪除,它依然存在於磁碟中。這意味著,程式並不知道檔案已經被刪除,它仍然可以向開啟該檔案時提供給它的檔案描述符進行讀取和寫入。除了該程式之外,這個檔案是不可見的,因為已經刪除了其相應的目錄索引節點。


2>在/proc 目錄下,其中包含了反映核心和程式樹的各種檔案。/proc目錄掛載的是在記憶體中所對映的一塊區域,所以這些檔案和目錄並不存在於磁碟中,因此當我們對這些檔案進行讀取和寫入時,實際上是在從記憶體中獲取相關資訊。大多數與 lsof 相關的資訊都儲存於以程式的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的程式的資訊。每個程式目錄中存在著各種檔案,它們可以使得應用程式簡單地瞭解程式的記憶體空間、檔案描述符列表、指向磁碟上的檔案的符號連結和其他系統資訊。lsof 程式使用該資訊和其他關於核心內部狀態的資訊來產生其輸出。所以lsof 可以顯示程式的檔案描述符和相關的檔名等資訊。也就是我們通過訪問程式的檔案描述符可以找到該檔案的相關資訊。


3>當系統中的某個檔案被意外地刪除了,只要這個時候系統中還有程式正在訪問該檔案,那麼我們就可以通過lsof從/proc目錄下恢復該檔案的內容。

假設入侵者將/var/log/secure檔案刪除掉了,嘗試將/var/log/secure檔案恢復的方法可以參考如下:


a.檢視/var/log/secure檔案,發現已經沒有該檔案

640?wx_fmt=png


b.使用lsof命令檢視當前是否有程式開啟/var/log/secure,

640?wx_fmt=png


c.從上面的資訊可以看到 PID 1264(rsyslogd)開啟檔案的檔案描述符為4。同時還可以看到/var/log/ secure已經標記為被刪除了。因此我們可以在/proc/1264/fd/4(fd下的每個以數字命名的檔案表示程式對應的檔案描述符)中檢視相應的資訊,如下:

640?wx_fmt=png


d.從上面的資訊可以看出,檢視/proc/1264/fd/4就可以得到所要恢復的資料。如果可以通過檔案描述符檢視相應的資料,那麼就可以使用I/O重定向將其重定向到檔案中,如:

640?wx_fmt=png


e.再次檢視/var/log/secure,發現該檔案已經存在。對於許多應用程式,尤其是日誌檔案和資料庫,這種恢復刪除檔案的方法非常有用。

640?wx_fmt=png

作者:銘的隨記

來源:http://www.cnblogs.com/stonehe/p/7562374.html


11月雲端計算免費課程火爆來襲,免費深入瞭解雲端計算技術,揭祕運維行業發展,與技術大牛面對面交流,幫你尋找屬於你的努力方向~~


11月雲端計算免費訓練營

時間

11月23日 - 11月29日 (為期5天,24/25日休息,11月30日正式開班)

課程內容

  • 什麼是Linux、雲端計算、虛擬化;

  • KVM虛擬化實戰;

  • Linux作業系統由來;

  • 企業級Linux伺服器安裝方案;

  • 破解Linux系統密碼;

  • Linux命令列格式;

  • Linux下目錄和檔案管理;

  • FTP伺服器演示;

  • Web伺服器演示;

  • DNS伺服器演示;

  • 初識網路工程;

  • Linux雲端計算行業發展前景等等。

地點達內全國各中心校區,就近選擇。

講師:行業大咖,技術大牛面授課程。

免費報名方式長按下方二維碼即可免費申請

640?wx_fmt=png

*本次免費訓練營異常火爆,座位有限,各位童鞋抓緊時間,先報先得。

PS:記得查收小編送你的免費大禮包呦~

福利 | 一萬多套PPT模板等你免費來拿!無條件領取!

免費送 | 1000多套簡歷模板免費拿,附贈簡歷製作教程!

免費領 | 《Shell指令碼 100例》電子書免費拿,運維必備乾貨~

640?640

▼▼點選【閱讀原文】,5天運維免費課程,開講在即!

相關文章