系统入侵后的排查思路及心得

入侵后的总结 入侵后的总结 昨天发布Linux被入侵及其如何检查,今天这一篇主要是一些排查思路,仅供大家参考。

写在前面

首先,确保系统密码符合密码复杂度要求(长度大于20个字符,包括大小写、数字等;尽量是无规则的,随机的)。如果因为密码简单而被黑客破解,那是不可原谅的。

可疑进程排查

系统存在异常,肯定存在异常的进程,这些进程要么是疯狂地往外面发包,占用我们的带宽,导致不能对外正常提供服务;要么是后门进程,对外保持一个长连接,以便供黑客利用随时进入系统。

一般情况下,黑客为了掩盖自己的进程,会使用定制过的命令替换原有系统正常的命令。当然,我们使用黑客的命令来查看可疑的进程肯定是得不到结果的。可能会被替换的命令为:psnetstatlsofss等常用命令。这些命令一般会被黑客放在/usr/bin/dpkg目录下。如果我们发现存在此目录,基本上可以断定系统被入侵了。

这时,可以把正常的系统上的命令复制一份到被入侵的机器上的某个目录下,然后用这些正常的命令来查看系统中正在运行的进程。如果不清楚那些进程是可疑的进程,可以与运行相同业务且正常的机器的进程进行对比。可以把这些进程列表放到文本文件中,通过vimdiffdiff等工具进行比对,找出不同之处。有时可疑进程的名字起的非常巧妙,难以猜测它是否是可疑进程。我见过的可疑进程的名字,如以.开头的进程、如果getty的进程、如3个点的目录(...)等。这些进程都是难以识别的,如以点开头的进程,它对应的文件在操作系统上是隐藏文件;如getty这样的进程与操作系统中的agetty进程类似;如3个点的目录(...)又与操作系统中的当前目录(.)或上一级目录(..)很像。不管是什么样的可疑进程的名字,我们一定要把它记录下来,在后面的时候会用得到。

如果看到了上述描述的进程,可以毫不犹豫地把它们给kill掉。kill掉之后还不算完事,再次检查这些进程是否会自动的启动。一般情况下,这些进程还是会自动启动的。如果不自动启动,那么攻击者就不算是合格的黑客或脚本小子。

定时任务排查

关于可疑进程或文件的自动启动或自动生成。很有可能是由于定时任务被黑客设置了。如果系统重启后,可疑进程照旧还在,那么很有可能是被黑客写到了系统的启动脚本里或者写在了/etc/init.d/目录下。

在上面已经说过,把可以进程的名字记录下来,这时可以用的上。使用这些进程的名字作为关键字匹配系统的启动脚本,如rc.local脚本或/etc/init.d/目录下的脚本。一般情况下,都是找到一些信息的。

定时任务一般不会做什么手脚,关键是系统的启动脚本里动了手脚就不好排查了。

事后总结

事后总结是非常有必要且必须的。总结可以让我们知道我们犯了那些大忌;总结可以让我们知道黑客的惯用手法;总结可以让我们知道我们还有什么地方没有做好等。

找到问题根源,修复或改进,然后就重新安装系统吧!

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏菩提树下的杨过

TFS2008 + Windows2003 + Sql2005 安装注意事项

TFS2008并不是一个很容易安装的软件,很多时候能否顺利安装成功跟人品有关(笑),要想一次安装成功,强烈建议准备一个全新的干净系统。 1.系统   最好采用刚...

1729
来自专栏黑白安全

DNS欺骗

域名服务器(DNS)欺骗(又称DNS缓存中毒)是一种攻击,其中使用更改后的DNS记录将在线流量重定向到类似其预期目的地的欺诈网站。

1312
来自专栏区块链

我们不一样的黑客渗透教程第三课,CVE20177269实战测试

很多人想学黑客知识,却不知如何入门,网上的教程也太繁琐,小白看了也头疼,那还是我来写黑客系列入门教程吧,跟着我做,你能黑客入门的。我已经写了两篇了,第1篇在 《...

2066
来自专栏安恒信息

Apache Tomcat 安全漏洞预警

1 Apache Optionsbleed 漏洞跟进 2017年9月18日,Apache公告了HTTP OPTIONS方法内存泄露漏洞,代号“Optionsbl...

2917
来自专栏FreeBuf

BackdoorMan,帮你找到系统中的后门文件

BackdoorMan是一款采用Python语言开发的开源工具,它可以帮助你找出系统中的恶意文件、隐藏的PHP脚本以及可疑的Shell脚本。你可以在Backdo...

17710
来自专栏区块链

腾讯云乐固加固FAQ

注册腾讯云账号成功后找到账号信息,选择绑定QQ或者微信,以后使用PC工具和登录官网时就可以三方快速登录了。

1922
来自专栏FreeBuf

剪贴板劫持:复制粘贴中暗藏杀机

现在浏览器大多只允许开发者在一定条件下向用户剪贴板中添加内容。换句话说,剪贴板劫持只能是在浏览器事件中才能够触发。本文将详细的向各位讲述“剪贴板劫持”攻击如何诱...

1976
来自专栏农夫安全

在CakePHP应用程序中安装入侵检测系统

什么是PHPIDS? PHPIDS(PHP入侵检测系统)是由Mario Heiderich撰写的基于PHP的Web应用程序的最先进的安全层。 IDS既不剥离,消...

3237
来自专栏安恒信息

[紧急]Discuz!X 安全漏洞预警

1DISCUZ漏洞 2017年9月29日,Comsenz向Discuz!X官方Git提交了加强安全性的代码更新,代码更改记录: https://gitee.co...

37012
来自专栏FreeBuf

解析针对知名密码存储软件LastPass的钓鱼攻击

最近作者发现了一个针对LastPass的钓鱼攻击,其允许攻击者窃取一个LastPass用户的邮箱、密码甚至二次验证的验证码,这就使得攻击者可以完全获取到用户存储...

1808

扫描关注云+社区