专栏首页释然IT杂谈Linux安全服务器入侵检测基础

Linux安全服务器入侵检测基础

一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要。

 在询问了相关异常信息,排除了管理员操作失误等原因后,那么便可以开始正式的上服务器进行入侵检测以及取证操作了。

一、其他命令

pidof

查看正在运行的名为的进程

fuser

可以通过文件或者tcp udp协议看到进程

stat

可以看文件修改时间,大小等信息

lsmod

看加载模块

rpcinfo

看rpc服务开放

dmesg

看网卡是否混杂模式(promiscuous mod)

二、审计命令

last

  这个命令可用于查看我们系统的成功登录、关机、重启等情况,本质就是将/var/log/wtmp文件格式化输出,因此如果该文件被删除,则无法输出结果。

相关参数: last -10(-n) 查看最近10条记录 last -x reboot 查看重启的记录 last -x shutdown 查看关机的记录 last -d 查看登陆的记录 last –help 命令帮助信息 last -f wtmp 用last命令查看wtmp文件(直接打开无法查看)

lastb

这个命令用于查看登录失败的情况,本质就是将/var/log/btmp文件格式化输出。

相关参数: lastb name(root) 查看root用户登陆失败记录 lastb -10(-n) 查看最近10条登陆失败记录 lastb –heplp 命令帮助信息

lastlog

这个命令用于查看用户上一次的登录情况,本质就是将/var/log/lastlog文件格式化输出。

相关参数: lastlog 所有用户上一次登陆记录 lastlog -u username(root) root用户上一次登陆记录 lastlog –help 命令帮助信息

who

  这个命令用户查看当前登录系统的情况,本质就是将/var/log/utmp文件格式化输出。主要用来查看当前用户名称,以及登陆的ip地址信息,w命令与who一样,会更详细一些。

history

查看历史命令记录,其实就是查看root/.bash_history文件内容,删除这个文件,记录就没了。

相关参数: history 查看所有历史记录 history -10 查看最近10条记录 history | grep “wget” 查看wget相关信息的记录 history –help 命令帮助信息

history显示时间戳:

三、检查用户

Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd、/etc/shadow、/etc/group文件中记录。

注:linux设置空口令:passwd -d username

四、检查进程

  一般被入侵的服务器都会运行一些恶意程序,或是挖矿程序,或者DDOS程序等等,如果程序运行着,那么通过查看进程可以发现一些信息。

普通进程

如果进程中没有发现异常,那么可以看看有没有开启某些隐藏进程。

隐藏进程

注:以上3个步骤为检查隐藏进程。

五、检查文件

被入侵的网站,通常肯定有文件被改动,那么可以通过比较文件创建时间、完整性、文件路径等方式查看文件是否被改动。

六、检查网络

检查网络的目的,是查看黑客是否通过篡改网卡类型,进行流量嗅探等操作。

七、检查计划任务

当我们尝试kill恶意程序时,往往会遇到被kill程序自动启动的问题,那么就要检查下计划任务(cron)了。

八、检查系统后门

可以使用工具,如:Conmodo、rkhunter等,当然也可以手工输入命令检查。

查看著名的木门后门程序:

九、检查网站后门

  如果服务器上运行着web程序,那么需要检查是否通过web漏洞入侵服务器,具体的判断方法可以结合分析中间件日志以及系统日志,但过程需要较长时间。我们也可以通过检查服务器上是否留有入侵者放置的网站后门木马,以此判断黑客是否通过web应用入侵到服务器。

Method One

  • 将网站目录下,文件名中含有jsp、php、asp、aspx的文件(注意是含有)都copy出来并压缩。
  • 通过windows下的D盾工具扫描打包出来的目录,扫描是否存Webshell(网站后门)

Method Two

  直接使用MaskFindShell工具,进行webshell扫描(目前只能扫描jsp与php的网站,并且php的误报比较高) 关于MaskFindShell详细用法,可以参考:MaskFindShell-Document

寻找服务器物理路径

无论哪种方法的webshell查找,首先要确定的是web服务器安装的路径,因为webshell都是放在web路径下的。

  • 询问管理员、网站开发商
  • SearchWebPath,具体用法参考:SearchWebPath用法

十、打包文件

  当我们做好一切入侵检测分析后,我们需要把一些日志文件copy到本地进行更进一步详细的分析时,怎么打包服务器相关信息,并且copy到本地呢?

打包web文件

打包文件名中包含jsp的文件,打包后的文件为my_txt_files.tar:

打包日志文件

打包其他信息

十一、传输文件到本地

将服务器上的文件传输到本地电脑上的几种方法。

lrzsz

如果ssh连接的客户端为xshell等,可以安装lrzsz命令(putty无法使用)

使用: 上传文件到linux,rz;下载linux文件,sz 文件名。

开启ftp或者http

  开ftp这里我不介绍了,网上很多教程,这里主要说说开启http服务。   一般linux服务器都默认安装了python,那么可以借助python快速开启一个http服务,详细参考:基于Python的WebServer

U盘挂载

如果我们不是通过ssh的方式连接,而是直接通过显示器连接上服务器进行操作,那么可以尝试U盘传输。

本文总结的都是一些Linux入侵检测最基础的命令,至于怎么用好这些命令,需要结合实际情况,主要还是看经验。以上所诉,还只是入侵检测信息收集阶段,至于如何通过现有信息分析出入侵途径,还需要借助其他工具以及知识。

文章来源:https://thief.one/

本文分享自微信公众号 - 释然IT杂谈(gh_ad4551519762),作者:nmask

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-10-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 记一次Linux服务器被入侵后的检测过程

    ? 作者 | 哈兹本德 来源 | FreeBuf ? 豌豆贴心提醒,本文阅读时间5分钟,文末有秘密! 0×00 前言 故事是这样的,大年初一,客户反应...

    小小科
  • 记一次Linux服务器被入侵后的检测过程

    0x00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那...

    FB客服
  • 开源安全平台 wazuh 架构介绍

    安全圈的大事刚刚结束,安全圈的小伙伴也从加班的阴影中走了出来,这期间,学习写文章投稿的人很少,估计还是忙吧,大考结束之后,大家可以放松一下,然后继续学习新知识,...

    信安之路
  • 深入浅出理解操作系统安全

    操作系统安全在计算机信息系统的整体安全性中具有至关重要的作用,没有操作系统提供的安全性,计算机业务系统的安全性是没有基础的。

    FB客服
  • 【安全通知】知名端口转发工具rinetd遭高仿投毒

    近日,腾讯洋葱反入侵系统检测发现了一起仿造开源软件官方站点的钓鱼事件,并已与官方作者取得联系。事实上该开源软件目前仅在github发布,目前正在尝试推动该站点下...

    腾讯安全应急响应中心
  • 产业安全专家谈 | 面对恶意攻击,主机安全如何构建云端防御屏障?

    随着云计算的普及,云主机因强劲的性能、较低的成本成为大量传统企业上云和新兴业务快速扩张过程中的主流选择。

    腾讯安全
  • 拥抱云原生,腾讯发布TCSS容器安全服务!

    随着企业上云步伐的加快,以容器、微服务及动态编排为代表的云原生技术为企业的业务创新带来了强大的推动力。然而,在容器应用环境中,由于共享操作系统内核,容器仅为运行...

    腾讯安全
  • 8款WebShell扫描检测查杀工具(附下载地址)

    webshell是一种可以在web服务器上执行后台脚本或者命令的后门,黑客通过入侵网站上传webshell后获得服务器的执行操作权限,比如执行系统命令、窃取用户...

    贝塔安全实验室
  • 推荐个 Web 后门扫描排查工具——WebShellkiller

    说起博客站点的后门、木马来,明月可以说是经历了各种各样的骚扰和侵害,被植入过黑链(可参考【存在于搜索引擎快照里黑链的清除】一文)、被搜索引擎关键词劫持(可参考【...

    明月云服务
  • Linux如何判断自己的服务器是否被入侵

    如何判断自己的服务器是否被入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX和solaris为例...

    小小科
  • Linux如何判断自己的服务器是否被入侵

    如何判断自己的服务器是否被入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX和solaris为例...

    小小科
  • 防护DDoS迫在眉睫,这里有你不知道有效做法

    DDoS攻击非常受黑客欢迎,因为它们非常有效,易于启动,并且几乎不会留下痕迹。那么如何防护DDoS攻击呢?在本文中,我们将讨论如何检测DDoS攻击,并将介绍一些...

    blublu7080
  • 网络安全知识-服务器安全管理

    安全咨询_安全管理咨询_安全规划咨询_合规咨询 - 腾讯云 (tencent.com)

    Mister-M0RE
  • DDG僵尸网络“变种”来袭,腾讯安全提醒企业警惕服务器安全

    曾经以暴破入侵LINUX系统挖矿而广为人知的DDG僵尸网络近期再次活跃。近日,腾讯安全检测发现DDG僵尸网络在近一个月内更新了9个版本,并通过攻击Linux系统...

    腾讯安全
  • 木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

    云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊...

    Kendiv
  • Linux高级入侵检测平台- AIDE

    AIDE(Advanced Intrusion Detection Environment)在linux下"一切皆是文件"这是一款针对文件和目录进行完整性对比...

    以谁为师
  • Centos 7.0 安装Mono 3.4 和 Jexus 5.6

    2013-07-26 写过一篇《CentOS 6.3下 安装 Mono 3.2 和Jexus 5.4》,CentOS 7在CentOS 6的基础上有很大的调整,...

    张善友
  • 7个来保护服务器的安全对策

    设置基础架构时,启动和运行应用程序通常是您最关心的问题。但是,使您的应用程序正常运行而不解决基础架构的安全需求可能会导致灾难性的后果。

    程序员的自我修养
  • 腾讯安全发布《2020年公有云安全报告》,重点剖析8大主流安全风险

    产业互联网的升级换代,也同时带来网络安全的巨大变化。传统威胁是在客户端、企业私有云环境,随着业务上云,安全风险也随之上云。比如,以往传统认为linux系统没有恶...

    腾讯安全

扫码关注云+社区

领取腾讯云代金券