一个"风和日丽"的晚上,凌晨躺床上在刷抖音,突然来了一条短信让我睡意全无,我的 vps 被异地登陆了(国外ip)??? oVO?感觉是误报。吓得我赶紧起来排查一下(其实我也不咋会应急,所以索性用一下现成的入侵痕迹排查)---ps:可以试用一下这个功能~
看了一下最近登陆日志和登陆的ip(国外的ip又在乱扫),貌似也没啥问题...好像也没人异常登陆啊..奇怪?
常见的排查命令和日志位置
/var/log/lastlog 查看机器最近成功登陆的事件和最后一次不成功的登陆事件/var/log/messages 内核及公共消息日志/var/log/cron 计划任务日志/var/log/dmesg (系统在启动的过程中加载了哪些内核模块的信息,对一些硬件的识别加载的驱动等)/var/log/secure:与用户验证相关的安全性事件,如ssh/var/log/wtmp:用户登录、注销及系统开、关机事件/var/run/utmp:当前登录的每个用户的详细信息yum.log;dnf.log yum的日志xferlog ftp的日志boot.log:启动系统的过程之中出现的问题和正常的情况w、who、last、find+" " 、 netstat相关命令
这里我用的长亭的一个平台⬇️
长亭百川云平台-面向企业和技术爱好者-主机管理-牧云主机管理助手(collie.chaitin.cn)
感兴趣的可以去用一下。上平台比较直观的看了一下最近登陆失败的ip和使用的用户名,没啥异常
其次可以看下可登陆的用户,看有没有后门用户之类的(或者某些可登录的用户但自己不知道的),同样比较直观的可以看出来。而且并不需要熟悉linux命令,其实到这就结束了【虚惊一场】...因为确实没有境外ip成功登陆任何一个账户...
那么为什么会告警呢?
后续回想了一下...可能是我当时挂了全局代理 连了xshell然后导致告警...别骂我...谁会注意这个...
其次这个平台给我的第一感受还是不错的,这里我说一下为什么:
推荐理由
●图形化界面,很直观的看出来登陆日志、可登录用户等一些信息。
●对不熟悉了命令的新手来说很友好,因为web页面很好理解操作。
●其它功能,例如删除镜像、在线终端还算齐全。
●能白嫖服务器哈哈 (bushi
(注册送一台免费云主机还挺香)
1、服务器 ssh 密码 设置的是否过于简单(令应该包括大写字母,小写字母及数字,有特殊符号更好)。
2、尽量关闭一些无用的端口,减少暴露面。
3、如果使用了宝塔,注意宝塔面板的密码是不是很简单的密码。
4、服务器是否有历史漏洞或一些其它漏洞等(redis等)。
5、排查定时任务,可疑进程。
6、禁ping等。
如果有什么产品问题或者建议也可以加入产品用户交流群,提需求或bug可获得现金红包。
接下来更新的有基础也会有漏洞挖掘或是代码审计或是工具使用,如有问题欢迎后台私信,也可以进安全技术群交流。
喜欢的可以关注收藏、转发与身边的朋友分享,感谢。(后台回复加群也可以)
原文始发于微信公众号(漏洞之星):记一次虚惊一场的应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论