系统入侵后的排查思路及心得

入侵后的总结 入侵后的总结 昨天发布Linux被入侵及其如何检查,今天这一篇主要是一些排查思路,仅供大家参考。

写在前面

首先,确保系统密码符合密码复杂度要求(长度大于20个字符,包括大小写、数字等;尽量是无规则的,随机的)。如果因为密码简单而被黑客破解,那是不可原谅的。

可疑进程排查

系统存在异常,肯定存在异常的进程,这些进程要么是疯狂地往外面发包,占用我们的带宽,导致不能对外正常提供服务;要么是后门进程,对外保持一个长连接,以便供黑客利用随时进入系统。

一般情况下,黑客为了掩盖自己的进程,会使用定制过的命令替换原有系统正常的命令。当然,我们使用黑客的命令来查看可疑的进程肯定是得不到结果的。可能会被替换的命令为:psnetstatlsofss等常用命令。这些命令一般会被黑客放在/usr/bin/dpkg目录下。如果我们发现存在此目录,基本上可以断定系统被入侵了。

这时,可以把正常的系统上的命令复制一份到被入侵的机器上的某个目录下,然后用这些正常的命令来查看系统中正在运行的进程。如果不清楚那些进程是可疑的进程,可以与运行相同业务且正常的机器的进程进行对比。可以把这些进程列表放到文本文件中,通过vimdiffdiff等工具进行比对,找出不同之处。有时可疑进程的名字起的非常巧妙,难以猜测它是否是可疑进程。我见过的可疑进程的名字,如以.开头的进程、如果getty的进程、如3个点的目录(...)等。这些进程都是难以识别的,如以点开头的进程,它对应的文件在操作系统上是隐藏文件;如getty这样的进程与操作系统中的agetty进程类似;如3个点的目录(...)又与操作系统中的当前目录(.)或上一级目录(..)很像。不管是什么样的可疑进程的名字,我们一定要把它记录下来,在后面的时候会用得到。

如果看到了上述描述的进程,可以毫不犹豫地把它们给kill掉。kill掉之后还不算完事,再次检查这些进程是否会自动的启动。一般情况下,这些进程还是会自动启动的。如果不自动启动,那么攻击者就不算是合格的黑客或脚本小子。

定时任务排查

关于可疑进程或文件的自动启动或自动生成。很有可能是由于定时任务被黑客设置了。如果系统重启后,可疑进程照旧还在,那么很有可能是被黑客写到了系统的启动脚本里或者写在了/etc/init.d/目录下。

在上面已经说过,把可以进程的名字记录下来,这时可以用的上。使用这些进程的名字作为关键字匹配系统的启动脚本,如rc.local脚本或/etc/init.d/目录下的脚本。一般情况下,都是找到一些信息的。

定时任务一般不会做什么手脚,关键是系统的启动脚本里动了手脚就不好排查了。

事后总结

事后总结是非常有必要且必须的。总结可以让我们知道我们犯了那些大忌;总结可以让我们知道黑客的惯用手法;总结可以让我们知道我们还有什么地方没有做好等。

找到问题根源,修复或改进,然后就重新安装系统吧!

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏杨逸轩 ' sBlog

PHP 免费IP api接口,常用技巧

4758
来自专栏区块链

我们不一样的黑客渗透教程第三课,CVE20177269实战测试

很多人想学黑客知识,却不知如何入门,网上的教程也太繁琐,小白看了也头疼,那还是我来写黑客系列入门教程吧,跟着我做,你能黑客入门的。我已经写了两篇了,第1篇在 《...

3136
来自专栏FreeBuf

在线恶意软件和URL分析集成框架 – MalSub

malsub是一个基于Python 3.6.x的框架,它的设计遵循了当前最流行的互联网软件架构RESTful架构,并通过其RESTful API应用程序编程接口...

22010
来自专栏安恒信息

Exim SMTP Mail Server漏洞预警

1. Exim远程命令执行漏洞 2018年2月5日,有安全研究人员向Exim报告了4.90.1之前版本的Exim SMTP Mail Server存在一个缓冲区...

3937
来自专栏idealclover的填坑日常

Ubuntu 18.04/16.04系统安装网易云音乐无法启动或安装解决方案

由于netease-cloud-music_1.1.0_amd64_ubuntu.deb打包可能有问题,在Ubuntu 16.04/18.04版本中虽然可以安装...

5793
来自专栏安恒信息

安恒紧急漏洞预警: phpMoAdmin存在远程代码执行漏洞

国外绰号为sp1nlock的黑客在MongoDB GUI管理工具phpMoAdmin上发现了一个远程代码执行零天漏洞,攻击者可以利用该漏洞劫持运行phpMoAd...

38910
来自专栏性能与架构

Nginx写IO占用高故障处理

问题描述 突然收到一台服务器负载过高告警,网站打开缓慢 问题分析 (1)使用 top 命令看到cpu行的 iowait 达到了70%以上,断定是IO负载过高的原...

42310
来自专栏QQ音乐技术团队的专栏

KV存储跨IDC容灾部署

1.背景   目前部分KV存储不支持跨IDC部署,所以如果有机房故障的话,就会影响KV存储的可用性。本文提供了一种通过KV存储代理层来实现跨IDC容灾部署的方案...

3268
来自专栏编程

(4)Superset权限使用场景

如前文所述,Superset初始化权限之后,创建5个角色,分别为Admin,Alpha,Gamma,sql_lab以及Public。Admin,Alpha和Ga...

1.8K10
来自专栏知晓程序

小程序管理员的权限,怎么移交给他人?| 小程序问答 #39

小程序发布后,如果小程序负责人离职或岗位变动,负责人该如何将小程序管理员移交出去呢?

1443

扫码关注云+社区