开放了22远程登陆,开放了外网,就有可能被暴力破解登陆,对方一直尝试root密码而登陆进去了。
也有可能开放的服务,例如nginx,mysql或者redis(默认没有密码),因为某些漏洞,从而被黑客进入到系统之中。
被入侵后如果还有潜伏程序,将会有如下特征 1.启动一个程序一直运行,进行破坏或者收集信息 2.在周计划中添加条目,每隔几秒就运行一下 3.在/etc/profile等启动执行文件里添加条目
登录系统去看下是否有其它人陌生人也在线上 命令: w
如果有就找到pid号,kill掉,并立即更改服务器密码。 命令:ps -aux | grep root@pts/0
但有的会做免密登陆,同时只用ssh远程链接方式执行命令,也不会留下操作记录。这时候只是更改密码是没用的。下次人家还照样进来。
所以先到.ssh目录下将authorized_keys文件清空或者清除有问题的条目。 命令:> /root/.ssh/authorized_keys
查看密码文件和当前用户是否有变化,有没有新增加用户进来。 命令:cat /etc/passwd
命令:cat /etc/shadow
查看是否有写入周计划,有则删除,并记录下来,找找那些脚本写的是什么,看那些脚本里是不是自我复制,对下载脚本进行分析。 命令:crontab -e
命令:cat /etc/crontab
如果这里删除后过一会又有了,利用lsof命令查找一下是哪个进程在写入文件。 lsof /var/spool/cron/root
找不到则先锁定计划任务。去除i权限,清理计划任务,再锁定 cd /var/spool/cron``chattr -i *``> root``chattr +i *
可查看是哪个程序被入侵的,比如redis暴露外网被入侵,则可以在cron.deny禁止redis这个用户使用crontab
查询最近一天被修改的文件,并且去除proc临时文件 find / -mtime 0 -ls | grep -v proc
有的像crontab即使加了i属性,依然会被解封,然后写入定时任务。这时候可以用audit这个命令来监控/var/spool/cron/root这个文件,看是哪个进程在操作。
查看机器的日志有没有被清空或删除。和别的机器对比一下,看看是不是文件都在。 命令:du -sh /var/log/*
查看有没有异常操作,不过通常会被清空。在查询的时候也不要只看当前的,可能是伪造的history记录,从头一条条看。 命令:history
查看机器最近成功登陆的事件和最后一次不成功的登陆事件,对应的日志是**/var/log/lastlog**mo命令:lastlog
查看机器创建以来登陆过的用户,对应日志文件**/var/log/wtmp**命令:last
查看当前时间是否更改,更改时间会导致history等记录的时间不正确,可能昨天的操作,变成了半个月以前的,要更改回来。 命令:date
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。