Linux服务器被黑 排查思路(上)

一.为何会被入侵？

开放了22远程登陆，开放了外网，就有可能被暴力破解登陆，对方一直尝试root密码而登陆进去了。

也有可能开放的服务，例如nginx，mysql或者redis（默认没有密码），因为某些漏洞，从而被黑客进入到系统之中。

被入侵后如果还有潜伏程序，将会有如下特征 1.启动一个程序一直运行，进行破坏或者收集信息 2.在周计划中添加条目，每隔几秒就运行一下 3.在/etc/profile等启动执行文件里添加条目

二.排查

入侵排查

登录系统去看下是否有其它人陌生人也在线上 命令： w

如果有就找到pid号，kill掉，并立即更改服务器密码。 命令：ps -aux | grep root@pts/0

但有的会做免密登陆，同时只用ssh远程链接方式执行命令，也不会留下操作记录。这时候只是更改密码是没用的。下次人家还照样进来。

所以先到.ssh目录下将authorized_keys文件清空或者清除有问题的条目。 命令：> /root/.ssh/authorized_keys

检查是否还存在被登陆可能

查看密码文件和当前用户是否有变化，有没有新增加用户进来。 命令：cat /etc/passwd命令：cat /etc/shadow

计划任务

查看是否有写入周计划，有则删除，并记录下来，找找那些脚本写的是什么，看那些脚本里是不是自我复制，对下载脚本进行分析。 命令：crontab -e命令：cat /etc/crontab

如果这里删除后过一会又有了，利用lsof命令查找一下是哪个进程在写入文件。 lsof /var/spool/cron/root

找不到则先锁定计划任务。去除i权限，清理计划任务，再锁定 cd /var/spool/cron``chattr -i *``> root``chattr +i *

可查看是哪个程序被入侵的，比如redis暴露外网被入侵，则可以在cron.deny禁止redis这个用户使用crontab

被修改的文件

查询最近一天被修改的文件，并且去除proc临时文件 find / -mtime 0 -ls | grep -v proc

有的像crontab即使加了i属性，依然会被解封，然后写入定时任务。这时候可以用audit这个命令来监控/var/spool/cron/root这个文件，看是哪个进程在操作。

筛选日志

查看机器的日志有没有被清空或删除。和别的机器对比一下，看看是不是文件都在。 命令：du -sh /var/log/*

查看有没有异常操作，不过通常会被清空。在查询的时候也不要只看当前的，可能是伪造的history记录，从头一条条看。 命令：history

查看机器最近成功登陆的事件和最后一次不成功的登陆事件，对应的日志是**/var/log/lastlog**mo命令：lastlog

查看机器创建以来登陆过的用户，对应日志文件**/var/log/wtmp**命令：last

查看当前时间是否更改，更改时间会导致history等记录的时间不正确，可能昨天的操作，变成了半个月以前的，要更改回来。 命令：date