歡迎光臨
每天分享高質量文章

排查Linux機器是否已經被入侵

來源:計算機與網絡安全

ID:Computer-network

隨著開源產品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑒別異常機器是否已經被入侵了顯得至關重要,個人結合自己的工作經歷,整理了幾種常見的機器被黑情況供參考。

背景信息:以下情況是在CentOS 6.9的系統中查看的,其它Linux發行版類似。

1.入侵者可能會刪除機器的日誌信息,可以查看日誌信息是否還存在或者是否被清空,相關命令示例:

2.入侵者可能創建一個新的存放用戶名及密碼檔案,可以查看/etc/passwd及/etc/shadow檔案,相關命令示例:

3.入侵者可能修改用戶名及密碼檔案,可以查看/etc/passwd及/etc/shadow檔案內容進行鑒別,相關命令示例:

4.查看機器最近成功登陸的事件和最後一次不成功的登陸事件,對應日誌“/var/log/lastlog”,相關命令示例:

5.查看機器當前登錄的全部用戶,對應日誌檔案“/var/run/utmp”,相關命令示例:

6.查看機器創建以來登陸過的用戶,對應日誌檔案“/var/log/wtmp”,相關命令示例:

7.查看機器所有用戶的連接時間(小時),對應日誌檔案“/var/log/wtmp”,相關命令示例:

8.如果發現機器產生了異常流量,可以使用命令“tcpdump”抓取網絡包查看流量情況或者使用工具”iperf”查看流量情況。

9.可以查看/var/log/secure日誌檔案,嘗試發現入侵者的信息,相關命令示例:

10.查詢異常行程所對應的執行腳本檔案

a.top命令查看異常行程對應的PID

b.在虛擬檔案系統目錄查找該行程的可執行檔案

11.如果確認機器已經被入侵,重要檔案已經被刪除,可以嘗試找回被刪除的檔案。

1>當行程打開了某個檔案時,只要該行程保持打開該檔案,即使將其刪除,它依然存在於磁盤中。這意味著,行程並不知道檔案已經被刪除,它仍然可以向打開該檔案時提供給它的檔案描述符進行讀取和寫入。除了該行程之外,這個檔案是不可見的,因為已經刪除了其相應的目錄索引節點。

2>在/proc 目錄下,其中包含了反映內核和行程樹的各種檔案。/proc目錄掛載的是在記憶體中所映射的一塊區域,所以這些檔案和目錄並不存在於磁盤中,因此當我們對這些檔案進行讀取和寫入時,實際上是在從記憶體中獲取相關信息。大多數與 lsof 相關的信息都儲存於以行程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的行程的信息。每個行程目錄中存在著各種檔案,它們可以使得應用程式簡單地瞭解行程的記憶體空間、檔案描述符串列、指向磁盤上的檔案的符號鏈接和其他系統信息。lsof 程式使用該信息和其他關於內核內部狀態的信息來產生其輸出。所以lsof 可以顯示行程的檔案描述符和相關的檔案名等信息。也就是我們通過訪問行程的檔案描述符可以找到該檔案的相關信息。

3>當系統中的某個檔案被意外地刪除了,只要這個時候系統中還有行程正在訪問該檔案,那麼我們就可以通過lsof從/proc目錄下恢復該檔案的內容。

假設入侵者將/var/log/secure檔案刪除掉了,嘗試將/var/log/secure檔案恢復的方法可以參考如下:

a.查看/var/log/secure檔案,發現已經沒有該檔案。

b.使用lsof命令查看當前是否有行程打開/var/log/secure,

c.從上面的信息可以看到 PID 1264(rsyslogd)打開檔案的檔案描述符為4。同時還可以看到/var/log/ secure已經標記為被刪除了。因此我們可以在/proc/1264/fd/4(fd下的每個以數字命名的檔案表示行程對應的檔案描述符)中查看相應的信息,如下:

d.從上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢復的資料。如果可以通過檔案描述符查看相應的資料,那麼就可以使用I/O重定向將其重定向到檔案中,如:

e.再次查看/var/log/secure,發現該檔案已經存在。對於許多應用程式,尤其是日誌檔案和資料庫,這種恢復刪除檔案的方法非常有用。

來源:http://www.cnblogs.com/stonehe/p/7562374.html


《Linux雲計算及運維架構師高薪實戰班》2018年08月27日即將開課中,120天衝擊Linux運維年薪30萬,改變速約~~~~

    *宣告:推送內容及圖片來源於網絡,部分內容會有所改動,版權歸原作者所有,如來源信息有誤或侵犯權益,請聯繫我們刪除或授權事宜。

    – END –


    更多Linux好文請點擊【閱讀原文】

    ↓↓↓

    赞(0)

    分享創造快樂