linux入侵排查步骤

运行top命令 交互式P键会根据CPU的占用大小进行排序

有的时候会遇到top之后cpu显示特别的低，但是服务器还特别的卡，有可能是隐藏进程占

用了CPU，可以使用unhide或者busybox查看是否有隐藏的进程

b、占用内存最多的进程

运行top命令 交互式M键会根据MEM的占用大小进行排序

c、查找进程文件的位置

ls -la /proc/$pid/exe 

有的时候会遇到文件被删除了，可以dump出来检测是否是病毒木马 readlink /proc/$pid/exe  cat /proc/$pid/exe > 1.txt

Dump下来上传到virustotal检查是否是病毒或者木马

https://www.virustotal.com/gui/home/upload

二：查看异常的端口\ip

netstat -tunlp | grep -E -i“est|lis”

熟悉自己业务的人有经验的人一眼就能看出ip或者端口是否有问题，可以通过微步https://x.threatbook.cn/ 检测ip 

三：查看是否有异常的定时任务

Crontab -l

cront相关目录：/etc/cron.d/、/etc/cron.daily/、/etc/cron.monthly/、/etc/hourly/、/etc/weekly/、 /etc/crontab、/etc/anacrontab、 /var/spool/ancron/、 /var/spool/cron/

查看账号是否有定时任务：cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

有的时候我们删除定时任务，过一会一看任务就又有了很大可能是

四：账号列表

查看/etc/passwd、/etc/shadow、/etc/group是否有异常的账号

五：查看是否有异常登录

Lastlog 显示所有用户最近的登录信息  /var/log/lastlog

Last 列出截止目前登录过系统的用户信息

W  查看当前的登录账号信息

可以通过/var/log/secure文件 查看登录成功、失败等信息

六：查看最近一段时间被修改的文件

查找入侵时间点修改的文件
find / -type f -newermt "2022-03-25 15:39" ! -newermt "2022-03-25 15:41"

命令替换
rpm -Va | grep 命令绝对路径  /usr/bin  usr/sbin  /usr/local/bin /usr/local/sbin

七：查找敏感目录下是否有异常的文件或者隐藏文件

/root、/home、/tmp /var/tmp、/etc/init.d/

/root 下的.bashrc\.bash_profile\.bash_logout\.ssh下的host,authorized_keys是否有异常。

异常文件删除的时候有的时候会报：rm: cannot remove ‘1’: Operation not permitted

有可能文件被加了ia锁，lsattr查看文件是否加锁，chattr解锁。

例如：find /root -type f -exec lsattr {} \;  查看root目录下所有文件。

find /root -type f -exec chattr -ai {} \; 去掉ia锁

有的时候去不掉，可以确认下目录是否加了ia锁或者使用busybox chattr 进行解锁

八： 异常开机启动项

/etc/rc.local

/etc/rc.d/

/etc/rc.[0..6]d/

Chkconfig --list

九：服务删除之后过了一会又起来了

a、ps -axu 看是否有wget对外的异常链接

b、/etc/systemd/system/multi-user.target.wants 是否有服务的软连接

c、可以先kill -STOP $id 先禁止然后在进行排查

服务器要做好安全加固避免被入侵，尤其是重要的数据要做好备份避免被加密勒索。

a、定期安装系统补丁

b、安全组仅对外开放业务端口

c、定期做镜像、快照备份

d、不要安装来源不明软件

e、使用含有数字、大小写字母、特殊符号的密码