第2篇:Linux入侵排查

0x00 前言

當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí),急需第一時(shí)間進(jìn)行處理,使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作,進(jìn)一步查找入侵來源,還原入侵事故過程,同時(shí)給出解決方案與防范措施,為企業(yè)挽回或減少經(jīng)濟(jì)損失。

針對(duì)常見的攻擊事件,結(jié)合工作中應(yīng)急響應(yīng)事件分析和解決的方法,總結(jié)了一些Linux服務(wù)器入侵排查的思路。

0x01 入侵排查思路

1.1 賬號(hào)安全

? ??基本使用:

????1、用戶信息文件/etc/passwd

????????root:x:0:0:root:/root:/bin/bash

????????account:password:UID:GID:GECOS:directory:shell

????????用戶名:密碼:用戶ID:組ID:用戶說明:家目錄:登陸之后shell

????????注意:無密碼只允許本機(jī)登陸,遠(yuǎn)程不允許登陸

????2、影子文件/etc/shadow

????????root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

????????用戶名:加密密碼:密碼最后一次修改日期:兩次密碼的修改時(shí)間間隔:密碼有效期:密碼修改到期到的警告天數(shù):密碼過期之后的寬限天數(shù):賬號(hào)失效時(shí)間:保留

????????who? ? 查看當(dāng)前登錄用戶(tty本地登陸? pts遠(yuǎn)程登錄)

????????w? ? ? 查看系統(tǒng)信息,想知道某一時(shí)刻用戶的行為

????????uptime? 查看登陸多久、多少用戶,負(fù)載

入侵排查:

????1、查詢特權(quán)用戶特權(quán)用戶(uid 為0)

????[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

????2、查詢可以遠(yuǎn)程登錄的帳號(hào)信息

????[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

????3、除root帳號(hào)外,其他帳號(hào)是否存在sudo權(quán)限。如非管理需要,普通帳號(hào)應(yīng)刪除sudo權(quán)限

????[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

????4、禁用或刪除多余及可疑的帳號(hào)

? ? ????usermod -L user? ? 禁用帳號(hào),帳號(hào)無法登錄,/etc/shadow第二欄為!開頭

? ????? userdel user? ? ? 刪除user用戶

? ????? userdel -r user? ? 將刪除user用戶,并且將/home目錄下的user目錄一并刪除

1.2 歷史命令

? ??基本使用:

????通過.bash_history查看帳號(hào)執(zhí)行過的系統(tǒng)命令

????1、root的歷史命令

????????histroy

????2、打開/home各帳號(hào)目錄下的.bash_history,查看普通帳號(hào)的歷史命令

????????為歷史的命令增加登錄的IP地址、執(zhí)行命令時(shí)間等信息:

????1)保存1萬條命令

????????sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

????2)在/etc/profile的文件尾部添加如下行數(shù)配置信息:

????????######jiagu history xianshi#########

????????USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`

????????if [ "$USER_IP" = "" ]

????????then

????????????USER_IP=`hostname`

????????fi

????????????export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "

????????????shopt -s histappend

????????????export PROMPT_COMMAND="history -a"

????????????######### jiagu history xianshi ##########

????3)source /etc/profile讓配置生效

????????生成效果: 1? 2018-07-10 19:45:39 192.168.204.1 root source /etc/profile

????3、歷史操作命令的清除:history -c

????????但此命令并不會(huì)清除保存在文件中的記錄,因此需要手動(dòng)刪除.bash_profile文件中的記錄。

入侵排查:

????進(jìn)入用戶目錄下

????cat .bash_history >> history.txt

1.3 檢查異常端口

????使用netstat 網(wǎng)絡(luò)連接命令,分析可疑端口、IP、PID

????????netstat -antlp|more

? ? ? 查看下pid所對(duì)應(yīng)的進(jìn)程文件路徑,

????????運(yùn)行l(wèi)s -l /proc/$PID/exe或file /proc/$PID/exe($PID 為對(duì)應(yīng)的pid 號(hào))

????1.4 檢查異常進(jìn)程

????????使用ps命令,分析進(jìn)程

????????ps aux | grep pid

????1.5 檢查開機(jī)啟動(dòng)項(xiàng)

? ??基本使用:

????????系統(tǒng)運(yùn)行級(jí)別示意圖:

????????運(yùn)行級(jí)別含義

? 0關(guān)機(jī)

1單用戶模式,可以想象為windows的安全模式,主要用于系統(tǒng)修復(fù)

2不完全的命令行模式,不含NFS服務(wù)

3完全的命令行模式,就是標(biāo)準(zhǔn)字符界面

4系統(tǒng)保留

5圖形模式

6重啟動(dòng)

查看運(yùn)行級(jí)別命令 runlevel

系統(tǒng)默認(rèn)允許級(jí)別

vi? /etc/inittab

id=3:initdefault? 系統(tǒng)開機(jī)后直接進(jìn)入哪個(gè)運(yùn)行級(jí)別

開機(jī)啟動(dòng)配置文件

/etc/rc.local

/etc/rc.d/rc[0~6].d

例子:當(dāng)我們需要開機(jī)啟動(dòng)自己的腳本時(shí),只需要將可執(zhí)行腳本丟在/etc/init.d目錄下,然后在/etc/rc.d/rc*.d中建立軟鏈接即可

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此處sshd是具體服務(wù)的腳本文件,S100ssh是其軟鏈接,S開頭代表加載時(shí)自啟動(dòng);如果是K開頭的腳本文件,代表運(yùn)行級(jí)別加載時(shí)需要關(guān)閉的。

入侵排查:

啟動(dòng)項(xiàng)文件: more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

1.6 檢查定時(shí)任務(wù)

基本使用

1、利用crontab創(chuàng)建計(jì)劃任務(wù)

基本命令

crontab -l 列出某個(gè)用戶cron服務(wù)的詳細(xì)內(nèi)容

Tips:默認(rèn)編寫的crontab文件會(huì)保存在 (/var/spool/cron/用戶名 例如: /var/spool/cron/root

crontab -r 刪除每個(gè)用戶cront任務(wù)(謹(jǐn)慎:刪除所有的計(jì)劃任務(wù))

crontab -e 使用編輯器編輯當(dāng)前的crontab文件

如:/1?* echo "hello world" >> /tmp/test.txt 每分鐘寫入文件

2、利用anacron實(shí)現(xiàn)異步定時(shí)任務(wù)調(diào)度

使用案例

每天運(yùn)行 /home/backup.sh腳本: vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh

當(dāng)機(jī)器在 backup.sh 期望被運(yùn)行時(shí)是關(guān)機(jī)的,anacron會(huì)在機(jī)器開機(jī)十分鐘之后運(yùn)行它,而不用再等待 7天。

入侵排查

重點(diǎn)關(guān)注以下目錄中是否存在惡意腳本

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

小技巧:

more /etc/cron.daily/*? 查看目錄下所有文件

1.7 檢查服務(wù)

服務(wù)自啟動(dòng)

第一種修改方法:

chkconfig [--level 運(yùn)行級(jí)別] [獨(dú)立服務(wù)名] [on|off]

chkconfig –level? 2345 httpd on? 開啟自啟動(dòng)

chkconfig httpd on (默認(rèn)level是2345)

第二種修改方法:

修改/etc/re.d/rc.local 文件?

加入 /etc/init.d/httpd start

第三種修改方法:

使用ntsysv命令管理自啟動(dòng),可以管理獨(dú)立服務(wù)和xinetd服務(wù)。

入侵排查

1、查詢已安裝的服務(wù):

RPM包安裝的服務(wù)

chkconfig? --list? 查看服務(wù)自啟動(dòng)狀態(tài),可以看到所有的RPM包安裝的服務(wù)

ps aux | grep crond 查看當(dāng)前服務(wù)

系統(tǒng)在3與5級(jí)別下的啟動(dòng)項(xiàng)

中文環(huán)境

chkconfig --list | grep "3:啟用\|5:啟用"

英文環(huán)境

chkconfig --list | grep "3:on\|5:on"

源碼包安裝的服務(wù)

查看服務(wù)安裝位置 ,一般是在/user/local/

service httpd start

搜索/etc/rc.d/init.d/? 查看是否存在

1.8 檢查異常文件

1、查看敏感目錄,如/tmp目錄下的文件,同時(shí)注意隱藏文件夾,以“..”為名的文件夾具有隱藏屬性

2、得到發(fā)現(xiàn)WEBSHELL、遠(yuǎn)控木馬的創(chuàng)建時(shí)間,如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件?

? 可以使用find命令來查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前訪問過的文件

3、針對(duì)可疑文件可以使用stat進(jìn)行創(chuàng)建修改時(shí)間。

1.9 檢查系統(tǒng)日志

日志默認(rèn)存放位置:/var/log/

查看日志配置情況:more /etc/rsyslog.conf

日志文件說明

/var/log/cron記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志

/var/log/cups記錄打印信息的日志

/var/log/dmesg記錄了系統(tǒng)在開機(jī)時(shí)內(nèi)核自檢的信息,也可以使用dmesg命令直接查看內(nèi)核自檢信息

/var/log/mailog記錄郵件信息

/var/log/message記錄系統(tǒng)重要信息的日志。這個(gè)日志文件中會(huì)記錄Linux系統(tǒng)的絕大多數(shù)重要信息,如果系統(tǒng)出現(xiàn)問題時(shí),首先要檢查的就應(yīng)該是這個(gè)日志文件

/var/log/btmp記錄錯(cuò)誤登錄日志,這個(gè)文件是二進(jìn)制文件,不能直接vi查看,而要使用lastb命令查看

/var/log/lastlog記錄系統(tǒng)中所有用戶最后一次登錄時(shí)間的日志,這個(gè)文件是二進(jìn)制文件,不能直接vi,而要使用lastlog命令查看

/var/log/wtmp永久記錄所有用戶的登錄、注銷信息,同時(shí)記錄系統(tǒng)的啟動(dòng)、重啟、關(guān)機(jī)事件。同樣這個(gè)文件也是一個(gè)二進(jìn)制文件,不能直接vi,而需要使用last命令來查看

/var/log/utmp記錄當(dāng)前已經(jīng)登錄的用戶信息,這個(gè)文件會(huì)隨著用戶的登錄和注銷不斷變化,只記錄當(dāng)前登錄用戶的信息。同樣這個(gè)文件不能直接vi,而要使用w,who,users等命令來查詢

/var/log/secure記錄驗(yàn)證和授權(quán)方面的信息,只要涉及賬號(hào)和密碼的程序都會(huì)記錄,比如SSH登錄,su切換用戶,sudo授權(quán),甚至添加用戶和修改用戶密碼都會(huì)記錄在這個(gè)日志文件中

日志分析技巧:

1、定位有多少IP在爆破主機(jī)的root帳號(hào):? ?

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用戶名字典是什么?

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登錄成功的IP有哪些:? ?

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登錄成功的日期、用戶名、IP:

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3、增加一個(gè)用戶kali日志:

Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001

Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali

, shell=/bin/bash

Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

#grep "useradd" /var/log/secure

4、刪除用戶kali日志:

Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

# grep "userdel" /var/log/secure

5、su切換用戶:

Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授權(quán)執(zhí)行:

sudo -l

Jul 10 00:43:09 localhost sudo:? ? good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

0x02 工具篇

2.1 Rootkit查殺

chkrootkit

網(wǎng)址:http://www.chkrootkit.org

使用方法:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

tar zxvf chkrootkit.tar.gz

cd chkrootkit-0.52

make sense

#編譯完成沒有報(bào)錯(cuò)的話執(zhí)行檢查

./chkrootkit

rkhunter

網(wǎng)址:http://rkhunter.sourceforge.net

使用方法:

Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz

tar -zxvf rkhunter-1.4.4.tar.gz

cd rkhunter-1.4.4

./installer.sh --install

rkhunter -c

2.2 病毒查殺

Clamav

ClamAV的官方下載地址為:http://www.clamav.net/download.html

安裝方式一:

1、安裝zlib:

wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

tar -zxvf? zlib-1.2.7.tar.gz

cd zlib-1.2.7

#安裝一下gcc編譯環(huán)境: yum install gcc

CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/

make && make install

2、添加用戶組clamav和組成員clamav:

groupadd clamav

useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、安裝Clamav

tar –zxvf clamav-0.97.6.tar.gz

cd clamav-0.97.6

./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib

make

make install

4、配置Clamav

mkdir /opt/clamav/logs

mkdir /opt/clamav/updata

touch /opt/clamav/logs/freshclam.log

touch /opt/clamav/logs/clamd.log

cd /opt/clamav/logs

chown clamav:clamav clamd.log

chown clamav:clamav freshclam.log

5、ClamAV 使用:

/opt/clamav/bin/freshclam 升級(jí)病毒庫

./clamscan –h 查看相應(yīng)的幫助信息

./clamscan -r /home? 掃描所有用戶的主目錄就使用

./clamscan -r --bell -i /bin? 掃描bin目錄并且顯示有問題的文件的掃描結(jié)果

安裝方式二:

#安裝

yum install -y clamav

#更新病毒庫

freshclam

#掃描方法

clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log

clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log

clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log

#掃描并殺毒

clamscan -r? --remove? /usr/bin/bsd-port

clamscan -r? --remove? /usr/bin/

clamscan -r --remove? /usr/local/zabbix/sbin

#查看日志發(fā)現(xiàn)

cat /root/usrclamav.log |grep FOUND

2.3 webshell查殺

linux版:

河馬webshell查殺:http://www.shellpub.com

深信服Webshell網(wǎng)站后門檢測(cè)工具:http://edr.sangfor.com.cn/backdoor_detection.html

2.4 RPM check檢查

? 系統(tǒng)完整性可以通過rpm自帶的-Va來校驗(yàn)檢查所有的rpm軟件包,查看哪些命令是否被替換了:

./rpm -Va > rpm.log

如果一切均校驗(yàn)正常將不會(huì)產(chǎn)生任何輸出,如果有不一致的地方,就會(huì)顯示出來,輸出格式是8位長字符串,每個(gè)字符都用以表示文件與RPM數(shù)據(jù)庫中一種屬性的比較結(jié)果 ,如果是. (點(diǎn)) 則表示測(cè)試通過。

驗(yàn)證內(nèi)容中的8個(gè)信息的具體內(nèi)容如下:

? ? ? ? S? ? ? ? 文件大小是否改變

? ? ? ? M? ? ? ? 文件的類型或文件的權(quán)限(rwx)是否被改變

? ? ? ? 5? ? ? ? 文件MD5校驗(yàn)是否改變(可以看成文件內(nèi)容是否改變)

? ? ? ? D? ? ? ? 設(shè)備中,從代碼是否改變

? ? ? ? L? ? ? ? 文件路徑是否改變

? ? ? ? U? ? ? ? 文件的屬主(所有者)是否改變

? ? ? ? G? ? ? ? 文件的屬組是否改變

? ? ? ? T? ? ? ? 文件的修改時(shí)間是否改變

如果命令被替換了,如果還原回來:

文件提取還原案例:

rpm? -qf /bin/ls? 查詢ls命令屬于哪個(gè)軟件包

mv? /bin/ls /tmp? 先把ls轉(zhuǎn)移到tmp目錄下,造成ls命令丟失的假象

rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中l(wèi)s命令到當(dāng)前目錄的/bin/ls下

cp /root/bin/ls? /bin/ 把ls命令復(fù)制到/bin/目錄 修復(fù)文件丟失

2.5 linux安全檢查腳本

Github項(xiàng)目地址:

https://github.com/grayddq/GScan

https://github.com/ppabc/security_check

https://github.com/T0xst/linux

盡信書不如無書,工具只是輔助,別太過于依賴,關(guān)鍵在于你如何解決問題的思路。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

推薦閱讀更多精彩內(nèi)容