linux 检测系统是否被入侵 (上)
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候,用户配置文件/etc/passwd 和密码配置文件/etc/shadow 是需要去重点关注的地方。
查询特权用户特权用户(uid 为 0)
复制代码
查找远程可以登录的账户
复制代码
$1:MD5(长度 22 个字符)
$5:SHA-256(长度 43 个字符)
$6:SHA-512(长度 86 个字符)
检查 sudo 权限
复制代码
删除或锁定账号
通过上面的步骤可以找到可疑的账号
复制代码
查看当前登录系统的信息
复制代码
检查异常端口
使用 netstat 网络连接命令,分析可疑端口、IP、PID 等信息。
复制代码
抓包分析
复制代码
使用 ps 命令检查可疑的进程
复制代码
查超系统中占用资源最高的资源
复制代码
发现异常进一步检查
复制代码
检查系统服务
Linux 系统服务管理,CentOS7 使用 systemd 控制 CentOS6 之前使用 chkconfig 控制。
检查开机自启的服务
复制代码
检查启动项脚本
命令查看下开机启动项中是否有异常的启动服务。
复制代码
检查计划任务
利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。
复制代码
原文链接:https://rumenz.com/rumenbiji/linux-hacking-1.html
微信公众号:入门小站
版权声明: 本文为 InfoQ 作者【入门小站】的原创文章。
原文链接:【http://xie.infoq.cn/article/badb6841b217db6eb6764dd5c】。文章转载请联系作者。
评论