排查入侵者

地球胖头鱼 2021-01-20
Web安全 发布于 2021-01-20 10:22:45 阅读 170 评论 0

现在很多软件都是开源软件,而且linux操作系统一直就是开源的。现在很多服务器的操作系统都是linux,作为一个安全服务从业人员要能够清晰的发现自己的机器是否被入侵了是一个非常非常重要的事情,我从网上找了几种常见机器被入侵的情况来作为参考,这里系统版本为CentOS 6.x版本其他linux操作系统类似。

1. 入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例:

排查入侵者

2. 入侵者可能创建一个新的存放用户名及密码文件,可以查看/etc/passwd及/etc/shadow文件,相关命令示例:

排查入侵者

3. 入侵者可能修改用户名及密码文件,可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,相关命令示例:

排查入侵者

4. 查看机器最近成功登陆的事件和最后一次不成功的登陆事件,对应日志“/var/log/lastlog”,相关命令示例:

排查入侵者

5. 查看机器当前登录的全部用户,对应日志文件“/var/run/utmp”,相关命令示例:

排查入侵者

6. 查看机器创建以来登陆过的用户,对应日志文件“/var/log/wtmp”,相关命令示例:

排查入侵者

7. 查看机器所有用户的连接时间(小时),对应日志文件“/var/log/wtmp”,相关命令示例:

排查入侵者

8. 如果发现机器产生了异常流量,可以使用命令“tcpdump”抓取网络包查看流量情况或者使用工具”iperf”查看流量情况

9. 可以查看/var/log/secure日志文件,尝试发现入侵者的信息,相关命令示例:

排查入侵者

10. 查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

图片

b、在虚拟文件系统目录查找该进程的可执行文件

[root@hlmcen69n3 ~]# ll /proc/1850/ | grep -i exelrwxrwxrwx. 1 root root 0 Sep 15 12:31 exe -> /usr/bin/python[root@hlmcen69n3 ~]# ll /usr/bin/python-rwxr-xr-x. 2 root root 9032 Aug 18  2016 /usr/bin/python
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章252
  • 作者收获粉丝10
  • 作者收到点赞3
  • 所有文章被收藏了5
  • 博客总访问量排行第2
  • 博客总访问量8.7 万(每日更新)
查看所有博文