搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      排查Linux機器被入侵的11個步驟

      馬哥Linux運維 ? 來源:未知 ? 作者:胡薇 ? 2018-08-08 14:42 ? 次閱讀

      隨著開源產(chǎn)品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑒別異常機器是否已經(jīng)被入侵了顯得至關(guān)重要,個人結(jié)合自己的工作經(jīng)歷,整理了幾種常見的機器被黑情況供參考。

      背景信息:以下情況是在CentOS 6.9的系統(tǒng)中查看的,其它Linux發(fā)行版類似。

      1.入侵者可能會刪除機器的日志信息,可以查看日志信息是否還存在或者是否被清空,相關(guān)命令示例:

      2.入侵者可能創(chuàng)建一個新的存放用戶名及密碼文件,可以查看/etc/passwd及/etc/shadow文件,相關(guān)命令示例:

      3.入侵者可能修改用戶名及密碼文件,可以查看/etc/passwd及/etc/shadow文件內(nèi)容進行鑒別,相關(guān)命令示例:

      4.查看機器最近成功登陸的事件和最后一次不成功的登陸事件,對應(yīng)日志“/var/log/lastlog”,相關(guān)命令示例:

      5.查看機器當(dāng)前登錄的全部用戶,對應(yīng)日志文件“/var/run/utmp”,相關(guān)命令示例:

      6.查看機器創(chuàng)建以來登陸過的用戶,對應(yīng)日志文件“/var/log/wtmp”,相關(guān)命令示例:

      7.查看機器所有用戶的連接時間(小時),對應(yīng)日志文件“/var/log/wtmp”,相關(guān)命令示例:

      8.如果發(fā)現(xiàn)機器產(chǎn)生了異常流量,可以使用命令“tcpdump”抓取網(wǎng)絡(luò)包查看流量情況或者使用工具”iperf”查看流量情況。

      9.可以查看/var/log/secure日志文件,嘗試發(fā)現(xiàn)入侵者的信息,相關(guān)命令示例:

      10.查詢異常進程所對應(yīng)的執(zhí)行腳本文件

      a.top命令查看異常進程對應(yīng)的PID

      b.在虛擬文件系統(tǒng)目錄查找該進程的可執(zhí)行文件

      11.如果確認(rèn)機器已經(jīng)被入侵,重要文件已經(jīng)被刪除,可以嘗試找回被刪除的文件。

      1>當(dāng)進程打開了某個文件時,只要該進程保持打開該文件,即使將其刪除,它依然存在于磁盤中。這意味著,進程并不知道文件已經(jīng)被刪除,它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外,這個文件是不可見的,因為已經(jīng)刪除了其相應(yīng)的目錄索引節(jié)點。

      2>在/proc 目錄下,其中包含了反映內(nèi)核和進程樹的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域,所以這些文件和目錄并不存在于磁盤中,因此當(dāng)我們對這些文件進行讀取和寫入時,實際上是在從內(nèi)存中獲取相關(guān)信息。大多數(shù)與 lsof 相關(guān)的信息都存儲于以進程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件,它們可以使得應(yīng)用程序簡單地了解進程的內(nèi)存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來產(chǎn)生其輸出。所以lsof 可以顯示進程的文件描述符和相關(guān)的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關(guān)信息。

      3>當(dāng)系統(tǒng)中的某個文件被意外地刪除了,只要這個時候系統(tǒng)中還有進程正在訪問該文件,那么我們就可以通過lsof從/proc目錄下恢復(fù)該文件的內(nèi)容。

      假設(shè)入侵者將/var/log/secure文件刪除掉了,嘗試將/var/log/secure文件恢復(fù)的方法可以參考如下:

      a.查看/var/log/secure文件,發(fā)現(xiàn)已經(jīng)沒有該文件。

      b.使用lsof命令查看當(dāng)前是否有進程打開/var/log/secure,

      c.從上面的信息可以看到 PID 1264(rsyslogd)打開文件的文件描述符為4。同時還可以看到/var/log/ secure已經(jīng)標(biāo)記為被刪除了。因此我們可以在/proc/1264/fd/4(fd下的每個以數(shù)字命名的文件表示進程對應(yīng)的文件描述符)中查看相應(yīng)的信息,如下:

      d.從上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢復(fù)的數(shù)據(jù)。如果可以通過文件描述符查看相應(yīng)的數(shù)據(jù),那么就可以使用I/O重定向?qū)⑵渲囟ㄏ虻轿募?,如?/p>

      e.再次查看/var/log/secure,發(fā)現(xiàn)該文件已經(jīng)存在。對于許多應(yīng)用程序,尤其是日志文件和數(shù)據(jù)庫,這種恢復(fù)刪除文件的方法非常有用。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • Linux
        +關(guān)注

        關(guān)注

        87

        文章

        11310

        瀏覽量

        209620

      原文標(biāo)題:排查Linux機器是否已經(jīng)被入侵

      文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        Linux編程時遇到Oops提示該如何排查

        各位工程師在Linux下開發(fā)程序時,有沒有遇到由于系統(tǒng)中存在某些小故障而跳出了“Oops”提示的情況,此時你是如何排查故障?一行行的查看代碼嗎?其實不用那么復(fù)雜,本文將為你介紹一種高效的Linux編程的故障排除方法。
        的頭像 發(fā)表于 11-28 16:52 ?9065次閱讀
        <b class='flag-5'>Linux</b>編程時遇到Oops提示該如何<b class='flag-5'>排查</b>?

        Linux SSH遠(yuǎn)程管理故障如何排查

        SSH遠(yuǎn)程管理故障排查方案:1、檢測兩機器是否暢通  兩機器之間是否暢通,查看物理鏈路是否有問題(網(wǎng)線網(wǎng)卡、IP是否正確)  第1步:物
        發(fā)表于 07-25 16:45

        Linux SSH遠(yuǎn)程管理故障如何排查?

        SSH遠(yuǎn)程管理故障排查方案:1、檢測兩機器是否暢通  兩機器之間是否暢通,查看物理鏈路是否有問題(網(wǎng)線網(wǎng)卡、IP是否正確)  第1步:物
        發(fā)表于 11-30 17:40

        linux運維怎么排查

        linux運維排查常用命令(開發(fā)專享)
        發(fā)表于 11-11 06:34

        分布式多步驟入侵場景建模及其抽象描述

        本文從入侵檢測的角度提出了一種完全非集中方式,將分布式多步驟入侵場景建模為分布于保護網(wǎng)絡(luò)系統(tǒng)中多個節(jié)點上的檢測子任務(wù)序列。本文基于巴科斯范式對分布式多
        發(fā)表于 09-03 08:57 ?8次下載

        Linux的安裝步驟

        Linux的安裝步驟下面我們介紹Linux的安裝。各種Linux發(fā)行版本的安裝各有不同,但是卻大同小異。總的來說,除了國產(chǎn)的Linux以外,
        發(fā)表于 01-18 09:57 ?914次閱讀

        建立一方法和套路來對 Load 高問題排查

        講解 Linux Load 高如何排查的話題屬于老生常談了,但多數(shù)文章只是聚焦了幾個點,缺少整體排查思路的介紹。所謂 “授人以魚不如授人以漁"。本文試圖建立一方法和套路,來幫助讀者對
        的頭像 發(fā)表于 12-28 14:18 ?5482次閱讀
        建立一<b class='flag-5'>個</b>方法和套路來對 Load 高問題<b class='flag-5'>排查</b>

        解析Linux如何判斷自己的服務(wù)器是否入侵的檢測方法

        如何判斷自己的服務(wù)器是否入侵了呢?僅僅靠兩只手是不夠的,但兩只手也能起到一些作用,我們先來看看UNIX系統(tǒng)上一些入侵檢測方法,以LINUX和solaris為例。
        的頭像 發(fā)表于 01-13 10:27 ?6011次閱讀

        Linux:QEMU調(diào)試內(nèi)核的步驟

        Linux:QEMU調(diào)試內(nèi)核的步驟
        的頭像 發(fā)表于 06-23 09:03 ?3158次閱讀
        <b class='flag-5'>Linux</b>:QEMU調(diào)試內(nèi)核的<b class='flag-5'>步驟</b>

        如何鑒別Linux服務(wù)器是否入侵

        隨著開源產(chǎn)品的越來越盛行,作為一Linux運維工程師,能夠清晰地鑒別異常機器是否已經(jīng)入侵了顯得至關(guān)重要,個人結(jié)合自己的工作經(jīng)歷,整理了幾
        的頭像 發(fā)表于 03-16 10:08 ?1304次閱讀

        Windows主機入侵痕跡排查辦法

        一般情況下,客戶資產(chǎn)都比較多,想要對所有的資產(chǎn)主機進行入侵痕跡排查基本不太現(xiàn)實,等你全部都排查完了,攻擊者該做的事早就做完了,想要的目的也早就達(dá)到了。那么針對客戶資產(chǎn)量大的情況,我們應(yīng)該怎么處理?
        的頭像 發(fā)表于 03-18 09:24 ?2222次閱讀

        11步驟完美排查linux機器是否已經(jīng)入侵

        當(dāng)進程打開了某個文件時,只要該進程保持打開該文件,即使將其刪除,它依然存在于磁盤中。這意味著,進程并不知道文件已經(jīng)被刪除,它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外,這個文件是不可見的,因為已經(jīng)刪除了其相應(yīng)的目錄索引節(jié)點。
        的頭像 發(fā)表于 03-13 10:53 ?4761次閱讀

        常用linux網(wǎng)絡(luò)排查命令

        今天浩道跟大家分享linux網(wǎng)絡(luò)運維中常見的命令,掌握好這些命令,在排查故障時將會游刃有余!
        發(fā)表于 06-25 10:49 ?818次閱讀

        PLC故障排查步驟

        故障排查對于PLC非常重要,下面是一般的PLC故障排查步驟: (1)收集信息:首先,收集有關(guān)故障的詳細(xì)信息,包括故障現(xiàn)象、故障發(fā)生時間、相關(guān)設(shè)備和傳感器的狀態(tài)等。這有助于更好地了解問題,并縮小
        的頭像 發(fā)表于 11-17 09:01 ?1970次閱讀

        服務(wù)器入侵現(xiàn)象、排查和處理步驟

        近期有一朋友的服務(wù)器(自己做了網(wǎng)站)好像遭遇了入侵,具體現(xiàn)象是: 服務(wù)器 CPU 資源長期 100%,負(fù)載較高。 服務(wù)器上面的服務(wù)不能正常提供服務(wù)。
        發(fā)表于 03-22 10:56 ?1126次閱讀
        服務(wù)器<b class='flag-5'>入侵</b>現(xiàn)象、<b class='flag-5'>排查</b>和處理<b class='flag-5'>步驟</b>