应急响应篇-linux被黑客入侵后自救

  • A+
所属分类:安全博客
摘要

linux应急响应 接着上篇windows应急响应而推出的linux篇。主要排查点:定时任务,日志分析,进程分析,流量分析

linux应急响应

前言

接着上篇windows应急响应而推出的linux篇。

入侵排查

主要排查点:定时任务,日志分析,进程分析,流量分析

如服务器部署了web应用还需要排查源码,检测webshell

关键位置排查

1、账号

内容含义:注册名、口令、用户标识号、组标识号、用户名、用户主目录、命令解释程序

分析:查看账户文件/etc/passwd,修改时间和内容。是否存在攻击者创建的恶意用户

stat /etc/passwd    cat /etc/passwd 

2、命令执行记录 ~/.bash_history

作用:命令执行记录 ~/.bash_history

分析:是否有账户执行过恶意操作系统命令

应急响应篇-linux被黑客入侵后自救

3、排查异常文件

www目录下所有.jsp后缀文件

find /www -name *.jsp 

最近3天修改过的文件

find -type f -mtime -3 

最近3天创建的文件

find -type f -ctime -3 

4、排查进程

查看进程

ps aux  

查看某个用户启动了什么进程

lsof -u root 

查看进程cpu占比(查看最高cpu占有率)

top 

5、排查网络连接

排查进程端口相关的信息

lsof -p 1816                #查看PID为1816的进程打开的文件   lsof -c sshd                 #查看进程sshd打开的文件   lsof -i:339                #查看339端口对应的一些进程 

列出连接筛选tcp

netstat -anop | grep tcp 

恶意软件清除

  • 查杀病毒clamav

  • webshell 查杀cloudwalker

  • rootkit查杀RootkitHunter和Chkroot

篇幅较大,自行研究。

ps:部分后门文件删除。需要要先修改权限为000

定时任务排查

查看定时任务

   /var/spool/cron/*      /etc/crontab    /etc/cron.d/*          /etc/cron.daily/*    /etc/cron.hourly/*    /etc/cron.monthly/*     /etc/cron.weekly/     /etc/anacrontab       /var/spool/anacron/* 

排查cron文件中是否存在恶意脚本

clamav   /var/spool/cron/*      /etc/crontab    /etc/cron.d/*          /etc/cron.daily/*    /etc/cron.hourly/*    /etc/cron.monthly/*     /etc/cron.weekly/     /etc/anacrontab       /var/spool/anacron/* 

日志分析

分析重点:找到入侵方式,修复漏洞。

1、安全日志 /var/log/secure

作用:安全日志secure包含验证和授权方面信息

分析:是否有IP爆破成功

2、中间件日志(Web日志access_log)

nginx、apache、tomcat、jboss、weblogic、websphere 

作用:记录访问信息

分析:请求次数过大,访问敏感路径的IP

位置:/var/log下 access.log文件(apache默认位置)

位置:/var/log/nginx下 access名称日志(nginx日志位置)

位置:tomcat、weblogic等日志均存放在安装路径下logs文件下

访问日志结构:访问IP---时间---请求方式---请求路径---请求协议----请求状态---字节数

3.登陆日志(可直接使用命令调取该信息,对应命令last/lastb)

应急响应篇-linux被黑客入侵后自救

位置:/var/log/wtmp #成功连接的IP信息

位置:/var/log/btmp #连接失败的IP信息

4.cron(定时任务日志)日志

位置:/var/log/cron

作用:查看历史计划任务(对该文件进行分析调取恶意病毒执行的计划任务,获取准确时间)

应急响应篇-linux被黑客入侵后自救

5、其他日志

作用:记录访问信息

分析:敏感操作

FTP           /var/log/vsftp.log #或者是同路径下的xferlog   Squid         /var/log/squid #或者是squid.access.log   NFS           /var/log/nfs   IPTABLES   /var/log/iptables/……   Samba        /var/log/samba   DNS           /var/log/message   DHCP         /var/log/message #或者/var/lib/dhcp/db/dhcpd.leases   Mail            /var/log/maillog 

来源:http://www.safe6.cn/

本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

应急响应篇-linux被黑客入侵后自救

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2020-06-30

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: