0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

如何鑒別Linux服務(wù)器是否被入侵

馬哥Linux運(yùn)維 ? 來(lái)源:Devops技術(shù)棧 ? 作者:Devops技術(shù)棧 ? 2022-03-16 10:08 ? 次閱讀

隨著開源產(chǎn)品的越來(lái)越盛行,作為一個(gè)Linux運(yùn)維工程師,能夠清晰地鑒別異常機(jī)器是否已經(jīng)被入侵了顯得至關(guān)重要,個(gè)人結(jié)合自己的工作經(jīng)歷,整理了幾種常見的機(jī)器被黑情況供參考。

背景信息:以下情況是在CentOS 6.9的系統(tǒng)中查看的,其它Linux發(fā)行版類似。

1.入侵者可能會(huì)刪除機(jī)器的日志信息

可以查看日志信息是否還存在或者是否被清空,相關(guān)命令示例:

1b943486-9332-11ec-952b-dac502259ad0.png

2.入侵者可能創(chuàng)建一個(gè)新的存放用戶名及密碼文件

可以查看/etc/passwd及/etc/shadow文件,相關(guān)命令示例:

1ba51788-9332-11ec-952b-dac502259ad0.png

3.入侵者可能修改用戶名及密碼文件

可以查看/etc/passwd及/etc/shadow文件內(nèi)容進(jìn)行鑒別,相關(guān)命令示例:

1bb1e260-9332-11ec-952b-dac502259ad0.png

4.查看機(jī)器最近成功登陸的事件和最后一次不成功的登陸事

對(duì)應(yīng)日志“/var/log/lastlog”,相關(guān)命令示例:

1bc7d99e-9332-11ec-952b-dac502259ad0.png

5.查看機(jī)器當(dāng)前登錄的全部用戶

對(duì)應(yīng)日志文件“/var/run/utmp”,相關(guān)命令示例:

1bd96740-9332-11ec-952b-dac502259ad0.png

6.查看機(jī)****器創(chuàng)建以來(lái)登陸過(guò)的用戶

對(duì)應(yīng)日志文件“/var/log/wtmp”,相關(guān)命令示例:

1be702b0-9332-11ec-952b-dac502259ad0.png

7.查看機(jī)器所有用戶的連接時(shí)間(小時(shí))

對(duì)應(yīng)日志文件“/var/log/wtmp”,相關(guān)命令示例:

1bfa42a8-9332-11ec-952b-dac502259ad0.png

8.如果發(fā)現(xiàn)機(jī)器產(chǎn)生了異常流量

可以使用命令“tcpdump”抓取網(wǎng)絡(luò)包查看流量情況或者使用工具”iperf”查看流量情況

9.可以查看/var/log/secure日志文件

嘗試發(fā)現(xiàn)入侵者的信息,相關(guān)命令示例:

1c08c490-9332-11ec-952b-dac502259ad0.png

10.查詢異常進(jìn)程所對(duì)應(yīng)的執(zhí)行腳本文件

a.top命令查看異常進(jìn)程對(duì)應(yīng)的PID

1c1a9e54-9332-11ec-952b-dac502259ad0.jpg

b.在虛擬文件系統(tǒng)目錄查找該進(jìn)程的可執(zhí)行文件

1c2e1998-9332-11ec-952b-dac502259ad0.png

11.如果確認(rèn)機(jī)器已被入侵,重要文件已被刪除,可以嘗試找回被刪除的文件Note:

1、當(dāng)進(jìn)程打開了某個(gè)文件時(shí),只要該進(jìn)程保持打開該文件,即使將其刪除,它依然存在于磁盤中。這意味著,進(jìn)程并不知道文件已經(jīng)被刪除,它仍然可以向打開該文件時(shí)提供給它的文件描述符進(jìn)行讀取和寫入。除了該進(jìn)程之外,這個(gè)文件是不可見的,因?yàn)橐呀?jīng)刪除了其相應(yīng)的目錄索引節(jié)點(diǎn)。

2、在/proc 目錄下,其中包含了反映內(nèi)核和進(jìn)程樹的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域,所以這些文件和目錄并不存在于磁盤中,因此當(dāng)我們對(duì)這些文件進(jìn)行讀取和寫入時(shí),實(shí)際上是在從內(nèi)存中獲取相關(guān)信息。大多數(shù)與 lsof 相關(guān)的信息都存儲(chǔ)于以進(jìn)程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的進(jìn)程的信息。每個(gè)進(jìn)程目錄中存在著各種文件,它們可以使得應(yīng)用程序簡(jiǎn)單地了解進(jìn)程的內(nèi)存空間、文件描述符列表、指向磁盤上的文件的符號(hào)鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來(lái)產(chǎn)生其輸出。所以lsof 可以顯示進(jìn)程的文件描述符和相關(guān)的文件名等信息。也就是我們通過(guò)訪問(wèn)進(jìn)程的文件描述符可以找到該文件的相關(guān)信息。

3、當(dāng)系統(tǒng)中的某個(gè)文件被意外地刪除了,只要這個(gè)時(shí)候系統(tǒng)中還有進(jìn)程正在訪問(wèn)該文件,那么我們就可以通過(guò)lsof從/proc目錄下恢復(fù)該文件的內(nèi)容。

假設(shè)入侵者將/var/log/secure文件刪除掉了,嘗試將/var/log/secure文件恢復(fù)的方法可以參考如下:

a.查看/var/log/secure文件,發(fā)現(xiàn)已經(jīng)沒(méi)有該文件

1c3a67d4-9332-11ec-952b-dac502259ad0.png

b.使用lsof命令查看當(dāng)前是否有進(jìn)程打開/var/log/secure,

1c4a1684-9332-11ec-952b-dac502259ad0.png

c.從上面的信息可以看到 PID 1264(rsyslogd)打開文件的文件描述符為4。同時(shí)還可以看到/var/log/ secure已經(jīng)標(biāo)記為被刪除了。因此我們可以在/proc/1264/fd/4(fd下的每個(gè)以數(shù)字命名的文件表示進(jìn)程對(duì)應(yīng)的文件描述符)中查看相應(yīng)的信息,如下:

1c5c8c74-9332-11ec-952b-dac502259ad0.jpg

d.從上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢復(fù)的數(shù)據(jù)。如果可以通過(guò)文件描述符查看相應(yīng)的數(shù)據(jù),那么就可以使用I/O重定向?qū)⑵渲囟ㄏ虻轿募?,?

1c6ed780-9332-11ec-952b-dac502259ad0.png

e.再次查看/var/log/secure,發(fā)現(xiàn)該文件已經(jīng)存在。對(duì)于許多應(yīng)用程序,尤其是日志文件和數(shù)據(jù)庫(kù),這種恢復(fù)刪除文件的方法非常有用。

1c7b6702-9332-11ec-952b-dac502259ad0.jpg

原文標(biāo)題:11 個(gè)步驟完美排查服務(wù)器是否被入侵

文章出處:【微信公眾號(hào):馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

審核編輯:湯梓紅

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • Linux
    +關(guān)注

    關(guān)注

    87

    文章

    11304

    瀏覽量

    209538
  • 服務(wù)器
    +關(guān)注

    關(guān)注

    12

    文章

    9165

    瀏覽量

    85437
  • 開源
    +關(guān)注

    關(guān)注

    3

    文章

    3349

    瀏覽量

    42505

原文標(biāo)題:11 個(gè)步驟完美排查服務(wù)器是否被入侵

文章出處:【微信號(hào):magedu-Linux,微信公眾號(hào):馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦

    linux服務(wù)器和windows服務(wù)器

    Linux服務(wù)器和Windows服務(wù)器是目前應(yīng)用最廣泛的兩種服務(wù)器操作系統(tǒng)。兩者各有優(yōu)劣,也適用于不同的應(yīng)用場(chǎng)景。本文將 對(duì)Linux
    發(fā)表于 02-22 15:46

    教你linux搭建web服務(wù)器

    教你linux搭建web服務(wù)器和大家分享了一份配置文檔,希望對(duì)您用linux搭建web服務(wù)器有所啟發(fā)。
    發(fā)表于 12-28 14:18 ?8874次閱讀

    基于Linux系統(tǒng)的FTP服務(wù)器的實(shí)現(xiàn)

    為了在Linux系統(tǒng)下實(shí)現(xiàn)安全、高效的FTP服務(wù)器,選擇了具有小巧輕快、安全易用等優(yōu)點(diǎn)的服務(wù)器軟件vsftpd。通過(guò)對(duì)Linux平臺(tái)下FTP網(wǎng)絡(luò)服務(wù)
    發(fā)表于 07-24 15:36 ?39次下載

    入侵服務(wù)器的癥狀分析與應(yīng)對(duì)方法

    本指南中所謂的服務(wù)器入侵或者說(shuō)被黑了的意思,是指未經(jīng)授權(quán)的人或程序?yàn)榱俗约旱哪康牡卿浀?b class='flag-5'>服務(wù)器上去并使用其計(jì)算資源,通常會(huì)產(chǎn)生不好的影響。
    的頭像 發(fā)表于 12-25 10:26 ?3804次閱讀

    解析Linux如何判斷自己的服務(wù)器是否入侵的檢測(cè)方法

    如何判斷自己的服務(wù)器是否入侵了呢??jī)H僅靠?jī)芍皇质遣粔虻模珒芍皇忠材芷鸬揭恍┳饔?,我們先?lái)看看UNIX系統(tǒng)上一些入侵檢測(cè)方法,以
    的頭像 發(fā)表于 01-13 10:27 ?6008次閱讀

    排查Linux機(jī)器入侵的11個(gè)步驟

    隨著開源產(chǎn)品的越來(lái)越盛行,作為一個(gè)Linux運(yùn)維工程師,能夠清晰地鑒別異常機(jī)器是否已經(jīng)入侵了顯得至關(guān)重要,個(gè)人結(jié)合自己的工作經(jīng)歷,整理了幾
    的頭像 發(fā)表于 08-08 14:42 ?2714次閱讀
    排查<b class='flag-5'>Linux</b>機(jī)器<b class='flag-5'>被</b><b class='flag-5'>入侵</b>的11個(gè)步驟

    如何查看云服務(wù)器是否遭受過(guò)網(wǎng)絡(luò)攻擊

    服務(wù)器怎么查看攻擊?有時(shí)候云服務(wù)器出現(xiàn)異常,有可能是人為操作不當(dāng)引起的,也有可能是系統(tǒng)被黑客入侵了。
    發(fā)表于 01-05 11:26 ?2301次閱讀

    linux如何搭建web服務(wù)器

    linux搭建web服務(wù)器流程如下
    發(fā)表于 06-08 09:09 ?9259次閱讀
    <b class='flag-5'>linux</b>如何搭建web<b class='flag-5'>服務(wù)器</b>

    Linux服務(wù)器入侵導(dǎo)致凍結(jié)的過(guò)程

    來(lái)自:看雪論壇,作者:Hefe https://bbs.pediy.com/thread-225163.htm 不一會(huì)運(yùn)維的同事也到了,氣喘吁吁的說(shuō):我們有臺(tái)服務(wù)器阿里云凍結(jié)了,理由:對(duì)外惡意發(fā)包
    的頭像 發(fā)表于 09-01 16:11 ?3220次閱讀

    服務(wù)器入侵挖礦的過(guò)程與解決方法

    常在河邊走,哪能不濕鞋。自認(rèn)為安全防范意識(shí)不錯(cuò),沒(méi)想到服務(wù)器入侵挖礦的事情也能落到自己頭上。
    的頭像 發(fā)表于 07-22 16:47 ?6799次閱讀

    如何在linux服務(wù)器中打開端口

    有時(shí)我們可能需要在Linux服務(wù)器中打開端口或在Linux服務(wù)器的防火墻中啟用端口來(lái)運(yùn)行特定的應(yīng)用程序。在本文中,小編將帶大家分析一下如何在linu
    的頭像 發(fā)表于 10-17 16:22 ?1.2w次閱讀

    服務(wù)器數(shù)據(jù)恢復(fù)】斷電導(dǎo)致linux服務(wù)器數(shù)據(jù)區(qū)索引清除的數(shù)據(jù)恢復(fù)

    linux服務(wù)器連接到準(zhǔn)備好的數(shù)據(jù)恢復(fù)服務(wù)器上,以只讀模式對(duì)服務(wù)器數(shù)據(jù)做鏡像備份,備份完成后將服務(wù)器歸還用戶。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作
    的頭像 發(fā)表于 01-13 13:34 ?752次閱讀

    如何使用Checkmk監(jiān)控Linux服務(wù)器?

    `Checkmk` 是用于監(jiān)控 Linux 服務(wù)器的最常用和用戶友好的應(yīng)用程序之一。它可以檢查與您的 Linux 服務(wù)器連接的服務(wù)器狀態(tài)、負(fù)
    的頭像 發(fā)表于 02-17 10:46 ?1235次閱讀
    如何使用Checkmk監(jiān)控<b class='flag-5'>Linux</b><b class='flag-5'>服務(wù)器</b>?

    手動(dòng)檢測(cè)是否入侵

    Gitlab代碼是否又被修改過(guò),用gitdiff查看 查看代碼的日志 代碼是否改動(dòng)過(guò) 查看服務(wù)器日志 是否有被劫持 查看登錄記錄 查看非
    發(fā)表于 02-29 10:45 ?1031次閱讀

    服務(wù)器入侵現(xiàn)象、排查和處理步驟

    近期有一個(gè)朋友的服務(wù)器(自己做了網(wǎng)站)好像遭遇了入侵,具體現(xiàn)象是: 服務(wù)器 CPU 資源長(zhǎng)期 100%,負(fù)載較高。 服務(wù)器上面的服務(wù)不能正常
    發(fā)表于 03-22 10:56 ?1125次閱讀
    <b class='flag-5'>服務(wù)器</b><b class='flag-5'>入侵</b>現(xiàn)象、排查和處理步驟