Linux入侵排查思路教程

\# Linux入侵排查思路\## 1.检测系统账号安全\### 1.1 用户文件信息/etc/passwdshellroot❌0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell\#用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell> 注意：无密码只允许本机登陆，远程不允许登陆\### 1.2 影子文件shellt:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::\#用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留> who>> w>> uptime\### 1.3 入侵排查+ 查询特权用户（uid为0）shellawk -F: '$3==0{print $1}' /etc/passwd+ 查询可以远程登录的帐号信息shellawk '/$1+ 除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限shellmore /etc/sudoers+ 禁用或删除多余及可疑的帐号shellusermod -L useruserdel useruserdel -r user\## 2.历史命令查看Ø1. root 的历史命令•historyØ2. 打开/home各帐号目录下的.bash\_history，查看普通帐号的历史命令•如果用户的默认shell 是bash，那么bash会记录用户的默认历史记录。•/.bash\_history记录的是上一次登陆系统所执行过的命令，而当前登陆这一次则保存在内存缓存中，当系统关机/重启后会更新到/.bash\_history文件中。Ø3. 入侵排查•进入用户目录下•cat .bash\_history >> history.txtØ4. 历史操作命令清除•history –c•该命令并不会清楚保存在文件中的记录，需要手动删除~/.bash\_history文件中的记录。Ø5. 历史命令优化查看•增加历史命令查看条数、增加显示登陆的IP和执行命令的时间信息•保存1万条命令配置：◆sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile•在/etc/profile的文件尾部添加如下行数配置信息：\######jiagu history xianshi#########USER\_IP=****who -u am** **i** **2>/dev/null |** **awk** **'{print $NF}' |** **sed** **-e 's/[()]//g'if [ "$USER\_IP" **=** "" **\]****then**USER\_IP**=\*\*\*\*hostname****fi****export** HISTTIMEFORMAT**=**"%F %T $USER\_IP whoami "shopt -s histappendexport PROMPT\_COMMAND="history -a"\######### jiagu history xianshi ##########•使配置生效：source /etc****/profile•\## 3.检查端口、进程Ø检查异常端口、进程•使用netstat 网络连接命令，分析可疑端口、IP、PID•netstat -antlp•查看下pid所对应的进程文件路径，运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号），查看启动命令ps –ef\## 4.启动项Ø有时木马或者病毒等脚本会隐藏在开机启动中，而Linux的启动项是取决于当前用户的运行级别的。ØLinux系统运行级别•运行级别命令 runlevelØ开机启动配置文件•/etc/rc.local/•etc/rc.d/rc[0~6].d #0~6 代表运行级别Ø当需要开机启动脚本时，做法是将可执行脚本丢在/etc/init.d目录下，接着在/etc/rc.d/rc*.d中建立软链接即可。Ø入侵排查•启动项文件•ls –l /etc/rc.d/rc[0~6].d\## 5.检查系统定时任务Ø入侵系统的黑客一般会使用crontab创建定期任务，如定期下载木马，定期下载挖矿病毒，定期进行内网扫描等等。Øcrontab -l 列出某个用户cron服务的详细内容Øcrontab -e 进入crontab任务编辑Øcrontab -r 删除所有计划任务Ø不同用户的crontab 任务保存 /var/spool/cron/crontabs/用户名 文件路径下ØLinux 系统创建定时任务除了crontab之外，还有一个工具是anacron。Øanacron是一个异步定时任务调度工具，用来弥补crontab的不足。Ø使用案例：•每天运行/home/backup.sh脚本：•vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh•当机器在backup.sh 期望被运行时是关机的，anacron会在机器开机10分钟之后运行他，而无需在等待下一个周期。Ø入侵排查：重点关注一下目录是否存在恶意脚本/var/spool/cron/*/etc/crontab/etc/cron.d/*/etc/cron.daily/*/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*\## 6.检查系统服务Ø服务自启动使用chkconfigØchkconfig [--add][--del][--list][系统服务]•--add 增加服务•--del 删除服务•chkconfig --level httpd 2345 on 设置httpd在运行级别2、3、4、5的情况下是on(默认2345)Ø服务自启动 修改 /etc/re.d/rc.local 文件•加入 /etc/init.d/httpd startØ排查•chkconfig --list 查看服务自启动状态•ps aux•系统在3与5级别下的启动项•中文环境:chkconfig --list•英文环境:chkconfig --list\## 7.检查异常文件Ø1、查看敏感目录•如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性•••Ø2、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？•可以使用find命令来查找，如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件Ø3、针对可疑文件可以使用stat进行创建修改时间\## 8.日志分析Ø1、定位有多少IP在爆破主机的root帐号：•grep "Failed password for root" /var/log/secureØ2、攻击者爆破哪些用户名？•grep "Failed password" /var/log/secureØ3、登录成功的IP有哪些？•grep "Accepted " /var/log/secure•登录成功的日期、用户名、IP：grep "Accepted " /var/log/secureØØØ4、系统添加、删除用户的记录和时间•grep "useradd" /var/log/secure•grep "userdel" /var/log/secure\# Linux入侵排查工具介绍ØRootkit查杀•Chkrootkit：网址：http://www.chkrootkit.org•Rkhunter：网址：http://rkhunter.sourceforge.netØ病毒查杀•Clamav◆ClamAV的官方下载地址为：http://www.clamav.net/download.htmlØwebshell查杀•linux版：◆河马webshell查杀：http://www.shellpub.com◆深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor\_detection.htmlØlinux安全检查脚本◆https://github.com/grayddq/GScan◆https://github.com/ppabc/security\_check◆https://github.com/T0xst/linux