MS笔记 · 2021年4月12日 0

Linux系统入侵排查(思路)

1.查看被替换的程序:
ls -alh
netstat -anp

2.通过检查md5sum和文件大小,判断是否被替换。
md5sum /bin/netstat

3.上传chkrootkit 和rkhunter两个工具,检测是否存在rootkit
4.使用clamAV Antivirus 检查/sbin /bin /usr/bin/ /usr/sbom
freshclam
clamscan -r PATH
查找隐藏目录
find / -name “…”
find / -name “..”
find / -name “.”
find / -name ” ”
5.检查近期系统登陆
使用last命令检测近期系统登陆

6.检测系统登陆
1.通过命令 less /etc/passwd 查看是否有新增用户
2.通过 grep “:0” /etc/passwd查看是否有特权用户
3.通过 stat /etc/passwd 查看passwd最后修改时间
4.通过 awk -F: ‘length($2)==0 {print $1}’ /etc/passwd 查看是否有空口令用户
5.查看进程
ps -aux 注意./xxx 开头的进程 可以kill -9 pid
find / -name 进程名 -print
通过命令 lsof -p pid 查看进程所打开的端口和文件
查看隐藏进程,使用命令如下:
ps -ef |awk ‘{print $2}’ |sort -n |uniq >1
ls /proc |sort -n |uniq >2
diff 1 2
7.检查网络连接和监听端口
ip link |grep PROMISC 查看嗅探网卡
netstat -lntp 查看监听端口
netstat -antp 查看已经建立的连接
arp -an 查看arp记录是否正常
8.检查计划任务
crontab -u root -l 查看root用户的计划任务
cat /etc/crontab 查看有无异常条目
ls /var/spool/cron 查看有无异常条目
ls -l /etc/cron.* 查看cron详细文件变化
9.检查开机启动项
检查开机启动项 /etc/rc.local
使用systemctl和chkconfig 检查开机启动项
systemctl list-unit-files –type=service |grep ‘enabled’

10.检查日志
系统日志:message secure cron mail
应用程序:apache nginx mysql 等

11.webshell检测
可以检查是否存在webshell网页木马。重点查看upload目录。使用d盾,lmd,安全狗等。

注意事项:
如果主机能断网检查最好,不能断网优先备份重要资料/
确定系统被渗透成功,处理完毕最好重装系统,重新加固,并改变之前系统相关账号密码。