系统入侵后的排查思路及心得

入侵后的总结 入侵后的总结 昨天发布Linux被入侵及其如何检查,今天这一篇主要是一些排查思路,仅供大家参考。

写在前面

首先,确保系统密码符合密码复杂度要求(长度大于20个字符,包括大小写、数字等;尽量是无规则的,随机的)。如果因为密码简单而被黑客破解,那是不可原谅的。

可疑进程排查

系统存在异常,肯定存在异常的进程,这些进程要么是疯狂地往外面发包,占用我们的带宽,导致不能对外正常提供服务;要么是后门进程,对外保持一个长连接,以便供黑客利用随时进入系统。

一般情况下,黑客为了掩盖自己的进程,会使用定制过的命令替换原有系统正常的命令。当然,我们使用黑客的命令来查看可疑的进程肯定是得不到结果的。可能会被替换的命令为:psnetstatlsofss等常用命令。这些命令一般会被黑客放在/usr/bin/dpkg目录下。如果我们发现存在此目录,基本上可以断定系统被入侵了。

这时,可以把正常的系统上的命令复制一份到被入侵的机器上的某个目录下,然后用这些正常的命令来查看系统中正在运行的进程。如果不清楚那些进程是可疑的进程,可以与运行相同业务且正常的机器的进程进行对比。可以把这些进程列表放到文本文件中,通过vimdiffdiff等工具进行比对,找出不同之处。有时可疑进程的名字起的非常巧妙,难以猜测它是否是可疑进程。我见过的可疑进程的名字,如以.开头的进程、如果getty的进程、如3个点的目录(...)等。这些进程都是难以识别的,如以点开头的进程,它对应的文件在操作系统上是隐藏文件;如getty这样的进程与操作系统中的agetty进程类似;如3个点的目录(...)又与操作系统中的当前目录(.)或上一级目录(..)很像。不管是什么样的可疑进程的名字,我们一定要把它记录下来,在后面的时候会用得到。

如果看到了上述描述的进程,可以毫不犹豫地把它们给kill掉。kill掉之后还不算完事,再次检查这些进程是否会自动的启动。一般情况下,这些进程还是会自动启动的。如果不自动启动,那么攻击者就不算是合格的黑客或脚本小子。

定时任务排查

关于可疑进程或文件的自动启动或自动生成。很有可能是由于定时任务被黑客设置了。如果系统重启后,可疑进程照旧还在,那么很有可能是被黑客写到了系统的启动脚本里或者写在了/etc/init.d/目录下。

在上面已经说过,把可以进程的名字记录下来,这时可以用的上。使用这些进程的名字作为关键字匹配系统的启动脚本,如rc.local脚本或/etc/init.d/目录下的脚本。一般情况下,都是找到一些信息的。

定时任务一般不会做什么手脚,关键是系统的启动脚本里动了手脚就不好排查了。

事后总结

事后总结是非常有必要且必须的。总结可以让我们知道我们犯了那些大忌;总结可以让我们知道黑客的惯用手法;总结可以让我们知道我们还有什么地方没有做好等。

找到问题根源,修复或改进,然后就重新安装系统吧!

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏非著名程序员

下一代Android渠道打包工具

前面我们曾经讲过两种Android的渠道打包方式,包括其中的原理都有所涉及。今天给大家讲解的是packer-ng-plugin简称packer,号称是下一代的A...

2448
来自专栏大数据和云计算技术

微信群之间消息自动转发简明教程(Github上免费共享有代码和教程)

微信群有限制,一个群最多500人,所以需要打通群和群之间的限制。 全栈工程师,出马调代码! 网上搜了搜,主要源头都是使用itchat,itchat是一个开源的微...

5895
来自专栏lonelydawn的前端猿区

大白话谈 Git

一、Git是什么? 定义 Git 的定义 是 一款免费、开源的版本控制系统。 免费不必多说;开源则是指将源代码公布,并允许公众查看、修改代码。 如果我们将项目每...

2786
来自专栏FreeBuf

一项有趣的实验:装了杀软的主机真的安全吗?

我们有的理由怀疑自己的主机早被感染了恶意程序。大部分人都是采用重打包后的镜像来安装的盗版系统;用的不知从哪儿下回来的工具激活的系统;平常在网上下载的工具奉行的都...

623
来自专栏Jerry的SAP技术分享

如何处理SAP云平台错误消息 there is no compute unit quota for subaccount

点击Deploy按钮,遇到如下错误消息:there is no compute unit quota for subaccount:

1462
来自专栏FreeBuf

Metasploit的简单木马免杀技术及后渗透面临的问题

PS:本文仅用于技术交流与分享,严禁用于非法用途 ? 一. 配置ngrok准备内网穿透 内网穿透的必要性和原理就不用说了,直接说操作。首先到ngrok官网去注册...

3414
来自专栏互扯程序

5分钟了解swagger

随着互联网技术的发展,现在的网站架构基本都由原来的后端渲染,变成了:前端渲染、先后端分离的形态,而且前端技术和后端技术在各自的道路上越走越远。

983
来自专栏张戈的专栏

实测Nginx服务器开启pagespeed加速效果

上周有一个站长问到我一个问题,问 fastcgi_cache 和 pagespeed 加速有没有冲突。略微想了下,2 个都是比较原生的主,应该不存在兼容问题。 ...

4049
来自专栏DannyHoo的专栏

iOS开发中使用DEBUG模式和RELEASE模式

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u010105969/article/details/...

592
来自专栏landv

5分钟了解swagger

1714

扫码关注云+社区