Linux攻击排查

最新推荐文章于 2024-07-05 11:42:17 发布
最新推荐文章于 2024-07-05 11:42:17 发布
阅读量1.4k 收藏 14
点赞数 2
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46634416/article/details/125432809

文章目录

Linux攻击排查

1. 入侵排查思路

1.1 账号安全

//查看用户信息passwd文件 是否有恶意的用户
[root@master ~]# less /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:998:996::/var/lib/chrony:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin   
## 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell

//影子文件
[root@master ~]# cat /etc/shadow
root:$6$KMaK//2Hp2$rrKd0MQA.8cCqzv0SEOkM3nq3qlhoYeSw2LLQtDdBL0Wy2qNXITg8kiiztre/WrTsn/ropx6aI5UdzW.mG613.:19144:0:99999:7:::
bin:*:18353:0:99999:7:::
daemon:*:18353:0:99999:7:::
adm:*:18353:0:99999:7:::
lp:*:18353:0:99999:7:::
sync:*:18353:0:99999:7:::
shutdown:*:18353:0:99999:7:::
halt:*:18353:0:99999:7:::
mail:*:18353:0:99999:7:::
operator:*:18353:0:99999:7:::
games:*:18353:0:99999:7:::
ftp:*:18353:0:99999:7:::
nobody:*:18353:0:99999:7:::
systemd-network:!!:19108::::::
dbus:!!:19108::::::
polkitd:!!:19108::::::
sshd:!!:19108::::::
postfix:!!:19108::::::
chrony:!!:19108::::::
nscd:!!:19108::::::
tcpdump:!!:19108::::::
## 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

//who 查看当前登录用户(tty 本地登陆  pts 远程登录)
[root@master ~]# who
root     pts/0        2022-06-23 10:13 (59.172.xxx.xxx)

//uptime 最近登入多久,多少用户,负载状态
[root@master ~]# uptime 
 15:57:58 up 15 days,  6:00,  1 user,  load average: 0.51, 0.26, 0.25

//w 查看系统信息,知道某一刻用户的行为
[root@master ~]# w
 16:02:14 up 15 days,  6:04,  1 user,  load average: 0.63, 0.35, 0.28
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    59.172.xxx.xxx   10:13    6.00s  0.13s  0.00s w

入侵排查

1、查询特权用户特权用户(uid 为0)
[root@master ~]# awk -F: '$3==0{print $1}' /etc/passwd
root
2、查询可以远程登录的帐号信息
[root@master ~]# awk '/\$1|\$6/{print $1}' /etc/passwd
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
[root@master ~]#  more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
root	ALL=(ALL) 	ALL
%wheel	ALL=(ALL)	ALL
4、禁用或删除多余及可疑的帐号
usermod -L user    禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user       删除 user 用户
userdel -r user    将删除 user 用户,并且将 /home 目录下的 user 目录一并删除

1.2 历史命令

1. 查看历史命令
[root@master ~]# history 
历史命令都保存在~目录下的.bash_history

2. 更改历史命令保存的格式
[root@node2 ~]# cat >> /etc/profile << EOF 
> USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
> if [ "$USER_IP" = ""  ]
> then
> USER_IP=`hostname`
> fi
> export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
> shopt -s histappend
> export PROMPT_COMMAND="history -a"
> EOF
[root@node2 ~]# source /etc/profile
[root&#
最低0.47元/天 解锁文章
linlusama
关注
渗透测试基础 - - - linux入侵排查
weixin_67503304的博客
10-24 2708
本文主要讲述了linxu中如果遭遇网络攻击排查步骤及其详细的使用方法。
Linux入侵排查
最新发布
m0_72286569的博客
07-14 1681
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
如何排查Linux机器是否已经被入侵?
xianjie0318的博客
12-22 835
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考   背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似   1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hlmc
排查Linux服务器是否被入侵步骤
rendongxingzhe的博客
11-22 1716
Linux操作系统安全,排查Linux服务器是否被入侵步骤
Linux 攻击防护基础排查
weixin_30622107的博客
05-20 414
作者:Zzang 来源:cnblogs 原文:https://www.cnblogs.com/Zzang/p/LinuxHack.html 版权声明:本文为博主原创文章,转载请附上博文链接! 基本网络拓扑图 1. 准备阶段。配置云主机,模拟简单的ssh登录爆破入侵行为 步骤一:登录阿里云管理控制台。打开云主机。 步骤二:打开VMware,将kali虚拟机的网卡模式设置为NAT,...
Linux入侵排查思路
2302_80462925的博客
07-01 1604
ls -l /proc/指定pid/exe 或者 ls -l /proc/指定pid/file。查看账号情况,这个运维会比较清楚,寻找是否存在可以账号,特别关注远程连接的账号。使用history -c清除历史命令,好似清干净了,其实并不是的。/sbin/nologin 是不允许登陆,即便有密码也不行。),找到路径如果确定是恶意的,可以杀除。默认的是1000我这里修改成了5000。/bin/bash 是我远程登陆的。完全的命令行模式,就是标准字符界面。的安全模式,主要用于系统修复。不完全的命令行模式,不含。
应急CC攻击排查Linux环境)
一个很酷的人
12-11 704
CC攻击就是利用大量代理服务器对目标计算机发起大量连接,导致目标服务器资源枯竭造成拒绝服务。那么如何判断查询CC攻击呢? 本文主要介绍了一些Linux下判断CC攻击的命令。 查看所有80端口的连接数 netstat -nat|grep -i "80"|wc -l 对连接的IP按连接数量进行排序 netstat -anp | grep 'tcp\|udp' | awk '{print $5...
Linux入侵检查
myworkgroup的专栏
01-11 901
本文记录一些Linux系统被入侵后,常用的检测手段和命令:history/last/lastlog看登录操作历史crontab -l              cat /etc/cron* 看任务有无异常top 看有没有cpu占用高的,如果中了挖矿木马,cpu占用会很高。sar -n DEV 看有没有大流量netstat -anput看有无异常连接,  异常连接的对端地址能不能封掉 lsof -i...
2024年Linux 系统被黑客入侵!怎么排查?_linux系统排查(1)
2303_79055586的博客
05-01 720
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。我之前在这个上面困惑了一段时间。
Linux服务器被黑客攻击的检测
birdsdeng的专栏
12-28 634
<br />Linux服务器被黑客攻击的检测 2009-09-29 09:28:23 来源:enet 【大 中 小】 评论:0 条 我要投稿 收藏本文 分享至微博 站长交易(http://jy.chinaz.com)帮站长赚钱 虚拟主机评测+IDC导航=IDC123.COM 俗称“脚本小鬼”的家伙是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那
linux服务器攻击日志分析
m0_54512200的博客
07-05 1359
/awk -F指定域分隔符为’:',将记录按指定的域分隔符划分域,填充域,•$0则表示所有域,目前登录用户信息:/var/run/utmp //w、who、users。最后一次登录:/var/log/lastlog //lastlog。即显示1000~2999行。登录失败记录:/var/log/btmp //lastb。登录成功记录: /var/log/wtmp //last。登录日志记录:/var/log/secure。5、只是显示/etc/passwd的账户。日志默认存放位置:/var/log/
Centos Docker部署教程_docker部署centos
2401_84281655的博客
04-28 975
docker pull ubuntu:后面跟docker hub的版本参数。docker pull ubuntu #自动拉取最新版本ubuntu。大纲路线、讲解视频,并且后续会持续更新**
linux服务器遭受攻击后对系统检查和安全防范
kevin_LCC的专栏
11-13 1243
linux服务器遭受攻击后对系统检查和安全防范:检查的时候可以参考另一台正常的备机 1. w   /  last   查看并锁定异常用户    passwd  -l    用户  ----锁定           passwd  -u    用户     ---解锁 2. ps auxwww | more         ----查看所有进程    top
linux入侵系统日志分析
runus
10-23 1088
记录重要的系统事件是系统安全的一个重要因素。多数U N I X 系统能够运行三个不同的日志子系统:使用wtmp / utmp 文件的连接时间日志;使用acct 或pacct 文件的进程统计;经过syslog 实施的错误日志。本章讲述了这些日志子系统以及允许系统或安全管理员监测、审计和维护日志的命令和程序。还讲述了几个额外的工具,从帮助查找侵入者的Zap 到标准UNIX syslog 的一个安全...
Linux服务器安全基础 - 查看入侵痕迹
dzqxwzoe的博客
06-01 1828
var/log/cron 记录了系统定时任务相关的日志/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息/var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此./var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr。
Linux 系统被黑客入侵!怎么排查
leah126的博客
01-05 1606
我在清空文件/etc/ld.so.preload 之后,我发现好了一会后,还是出现这个,我再看 /etc/ld.so.preload 文件,里面又写了/usr/local/lib/libprocesshider.so,我怀疑还有定时任务,但是我找了一会定时任务,还是没有找到。所以不能操作下去了。最后耗费了一段时间才反应到,入侵者可能不仅仅加锁了文件还加锁了/usr/bin/。朋友处理了一会没有解决,我开始想说我不是搞安全的,我怎么会,但朋友开出了天价,一顿海底捞,我在生活和现实面前低头了,开始上手看看了。
Linux入侵日志检测研究专题
chengfangang的专栏
10-13 2010
Linux日志系统中记录了每天发生的各种各样的事件,包括用户正常和非正常的登录情况,Linux的日志系统对于系统安全来说非常重要,通过分析日志可以了解错误发生的原因,对于排查系统错误有很大的帮助;更重要的是在系统受到黑客攻击后,日志中会留下攻击者的痕迹,通过分析这些痕迹,系统管理员可以发现黑客攻击的某些手段以及特点,甚至可以了解黑客攻击使用的地址以及其他信息,从而能够针对性的进行处理,更好地抵御下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值