11個步驟完美排查Linux機器是否已經被入侵
隨著開源產品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑑別異常機器是否已經被入侵了顯得至關重要,個人結合自己的工作經歷,整理了幾種常見的機器被黑情況供參考:
背景資訊:以下情況是在CentOS 6.9的系統中檢視的,其它Linux發行版類似。
1入侵者可能會刪除機器的日誌資訊
可以檢視日誌資訊是否還存在或者是否被清空,相關命令示例:
2入侵者可能建立一個新的存放使用者名稱及密碼檔案
可以檢視/etc/passwd及/etc/shadow檔案,相關命令示例:
3入侵者可能修改使用者名稱及密碼檔案
可以檢視/etc/passwd及/etc/shadow檔案內容進行鑑別,相關命令示例:
4檢視機器最近成功登陸的事件和最後一次不成功的登陸事件
對應日誌“/var/log/lastlog”,相關命令示例:
5檢視機器當前登入的全部使用者
對應日誌檔案“/var/run/utmp”,相關命令示例:
6檢視機器建立以來登陸過的使用者
對應日誌檔案“/var/log/wtmp”,相關命令示例:
7檢視機器所有使用者的連線時間(小時)
對應日誌檔案“/var/log/wtmp”,相關命令示例:
8如果發現機器產生了異常流量
可以使用命令“tcpdump”抓取網路包檢視流量情況或者使用工具”iperf”檢視流量情況
9可以檢視/var/log/secure日誌檔案
嘗試發現入侵者的資訊,相關命令示例:
10查詢異常程式所對應的執行指令碼檔案
a.top命令檢視異常程式對應的PID
b.在虛擬檔案系統目錄查詢該程式的可執行檔案
11如果確認機器已被入侵,重要檔案已被刪除,可以嘗試找回被刪除的檔案Note:
1>當程式開啟了某個檔案時,只要該程式保持開啟該檔案,即使將其刪除,它依然存在於磁碟中。這意味著,程式並不知道檔案已經被刪除,它仍然可以向開啟該檔案時提供給它的檔案描述符進行讀取和寫入。除了該程式之外,這個檔案是不可見的,因為已經刪除了其相應的目錄索引節點。
2>在/proc 目錄下,其中包含了反映核心和程式樹的各種檔案。/proc目錄掛載的是在記憶體中所對映的一塊區域,所以這些檔案和目錄並不存在於磁碟中,因此當我們對這些檔案進行讀取和寫入時,實際上是在從記憶體中獲取相關資訊。大多數與 lsof 相關的資訊都儲存於以程式的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的程式的資訊。每個程式目錄中存在著各種檔案,它們可以使得應用程式簡單地瞭解程式的記憶體空間、檔案描述符列表、指向磁碟上的檔案的符號連結和其他系統資訊。lsof 程式使用該資訊和其他關於核心內部狀態的資訊來產生其輸出。所以lsof 可以顯示程式的檔案描述符和相關的檔名等資訊。也就是我們通過訪問程式的檔案描述符可以找到該檔案的相關資訊。
3>當系統中的某個檔案被意外地刪除了,只要這個時候系統中還有程式正在訪問該檔案,那麼我們就可以通過lsof從/proc目錄下恢復該檔案的內容。
假設入侵者將/var/log/secure檔案刪除掉了,嘗試將/var/log/secure檔案恢復的方法可以參考如下:
a.檢視/var/log/secure檔案,發現已經沒有該檔案
b.使用lsof命令檢視當前是否有程式開啟/var/log/secure,
c.從上面的資訊可以看到 PID 1264(rsyslogd)開啟檔案的檔案描述符為4。同時還可以看到/var/log/ secure已經標記為被刪除了。因此我們可以在/proc/1264/fd/4(fd下的每個以數字命名的檔案表示程式對應的檔案描述符)中檢視相應的資訊,如下:
d.從上面的資訊可以看出,檢視/proc/1264/fd/4就可以得到所要恢復的資料。如果可以通過檔案描述符檢視相應的資料,那麼就可以使用I/O重定向將其重定向到檔案中,如:
e.再次檢視/var/log/secure,發現該檔案已經存在。對於許多應用程式,尤其是日誌檔案和資料庫,這種恢復刪除檔案的方法非常有用。
作者:銘的隨記
來源:http://www.cnblogs.com/stonehe/p/7562374.html
11月雲端計算免費課程火爆來襲,免費深入瞭解雲端計算技術,揭祕運維行業發展,與技術大牛面對面交流,幫你尋找屬於你的努力方向~~
☟
11月雲端計算免費訓練營
時間:
11月23日 - 11月29日 (為期5天,24/25日休息,11月30日正式開班)
課程內容:
什麼是Linux、雲端計算、虛擬化;
KVM虛擬化實戰;
Linux作業系統由來;
企業級Linux伺服器安裝方案;
破解Linux系統密碼;
Linux命令列格式;
Linux下目錄和檔案管理;
FTP伺服器演示;
Web伺服器演示;
DNS伺服器演示;
初識網路工程;
Linux雲端計算行業發展前景等等。
地點:達內全國各中心校區,就近選擇。
講師:行業大咖,技術大牛面授課程。
免費報名方式:長按下方二維碼即可免費申請▼
*本次免費訓練營異常火爆,座位有限,各位童鞋抓緊時間,先報先得。
PS:記得查收小編送你的免費大禮包呦~
福利 | 一萬多套PPT模板等你免費來拿!無條件領取!
免費送 | 1000多套簡歷模板免費拿,附贈簡歷製作教程!
免費領 | 《Shell指令碼 100例》電子書免費拿,運維必備乾貨~
▼▼點選【閱讀原文】,5天運維免費課程,開講在即!
相關文章
- Linux雲主機安全入侵排查步驟Linux
- 如何排查linux伺服器被入侵Linux伺服器
- 郵件被病毒入侵遵循五個清除步驟
- 如何判斷 Linux 伺服器是否被入侵?Linux伺服器
- linux檢測系統是否被入侵(上)Linux
- 怎麼檢測伺服器是否被入侵伺服器
- Linux中如何檢測系統是否被入侵Linux
- JVM問題排查步驟JVM
- 【知識分享】排查伺服器網路故障的幾個步驟伺服器
- 伺服器入侵應急響應排查(Linux篇)伺服器Linux
- 記一次Linux系統被入侵的排查過程(一)Linux
- 檢測php網站是否已經被攻破的方法PHP網站
- 應急響應- Linux入侵排查Linux
- 強化Linux 伺服器的7個步驟Linux伺服器
- Unix伺服器是否已經過時了?伺服器
- 一個HTTP需要經過哪些步驟HTTP
- Linux定時任務Crontab不起作用的排查步驟Linux
- Linux kernel 的設計是否已經過時?Linux
- vnc安裝步驟,4個在Linux下vnc的個安裝步驟VNCLinux
- 修改linux主機名的步驟Linux
- 一次Linux伺服器被入侵和刪除木馬程式的經歷Linux伺服器
- 怎麼檢視網站是否被谷歌收錄,檢視網站是否被谷歌收錄的詳細步驟網站谷歌
- IPV6介紹已經IPV6改造基本步驟
- 檢測Unix是否被入侵最快捷的方法(轉)
- 面試被問專案經驗不用慌,按這個步驟回答絕對驚豔面試
- 應用機器學習時被遺忘的兩個步驟機器學習
- 主機被入侵分析過程
- Linux伺服器被入侵後的處理過程Linux伺服器
- 安全強化你的 Linux 伺服器的七個步驟Linux伺服器
- linux伺服器安裝jdk步驟Linux伺服器JDK
- 轉載:Ubuntu 升級 golang 版本完美步驟UbuntuGolang
- Spring Security 3應用的11個步驟Spring
- Homestead 虛擬機器安裝步驟虛擬機
- Linux Oracle 11g Dataguard配置詳細步驟LinuxOracle
- 世界已經無法阻擋Python入侵Python
- HP unix無法進入CDE的排查步驟
- 網路入侵方法與一般步驟 1 (轉)
- 網路入侵方法與一般步驟2 (轉)