linux入侵应急的一些经验

发布时间:2020年01月30日 阅读:89 次

1.查看被替换的程序:

ls -alh

netstat -anp


2.通过检查md5sum和文件大小,判断是否被替换。

md5sum /bin/netstat 


3.上传chkrootkit 和rkhunter两个工具,检测是否存在rootkit

4.使用clamAV Antivirus 检查/sbin /bin /usr/bin/ /usr/sbom

freshclam

clamscan -r PATH

 查找隐藏目录

  find / -name "..."

  find / -name ".."

  find / -name "."

  find / -name " "

5.检查近期系统登陆

使用last命令检测近期系统登陆


6.检测系统登陆

  1.通过命令 less /etc/passwd 查看是否有新增用户

  2.通过 grep ":0" /etc/passwd查看是否有特权用户

  3.通过 stat /etc/passwd 查看passwd最后修改时间

  4.通过 awk -F: 'length($2)==0 {print $1}' /etc/passwd 查看是否有空口令用户

  5.查看进程

    ps -aux  注意./xxx 开头的进程  可以kill -9 pid

find / -name  进程名 -print

通过命令 lsof -p pid 查看进程所打开的端口和文件

查看隐藏进程,使用命令如下:

ps -ef |awk '{print $2}' |sort -n |uniq >1

ls /proc |sort -n |uniq >2

diff 1 2

7.检查网络连接和监听端口

    ip link |grep PROMISC 查看嗅探网卡

netstat -lntp 查看监听端口

netstat -antp 查看已经建立的连接

arp -an 查看arp记录是否正常

8.检查计划任务

 crontab -u root -l 查看root用户的计划任务

 cat /etc/crontab 查看有无异常条目

 ls /var/spool/cron 查看有无异常条目

 ls -l /etc/cron.* 查看cron详细文件变化

9.检查开机启动项

 检查开机启动项 /etc/rc.local

 使用systemctl和chkconfig 检查开机启动项

 systemctl list-unit-files --type=service |grep 'enabled'

 

10.检查日志

 系统日志:message secure cron mail

 应用程序:apache nginx mysql 等

 

11.webshell检测

 可以检查是否存在webshell网页木马。重点查看upload目录。使用d盾,lmd,安全狗等。

 

注意事项:

如果主机能断网检查最好,不能断网优先备份重要资料/

确定系统被渗透成功,处理完毕最好重装系统,重新加固,并改变之前系统相关账号密码。


 



Tag:
相关文章

发表评论: