intrude-check

 · 2020-5-25 · 次阅读


参考文章:一个网站被黑的经历与反思

查看最近登录信息:last | more

上图第一列是用户,第二列的pts/代表的是伪终端或虚拟终端。第一次打开就是ps/0,再次打开新的终端就是pts/1.第三列是接入的IP,敏感信息打上马赛克,然后是日期

审查日志:
/var/log
安全日志:/var/log/secure

上面的安全日志很奇怪,感觉我也被人入侵了,攻击者在尝试用ssh登录但是密码错误,那段时间我感觉很卡
命令根本莫法动就是这个原因。

如果被攻击者建立了组,那么可以去/etc/group中(根据name,gid)找到并删除

学习的文章中发现了www.jb51.net maillog日志异常大

文章中作者的机器被入侵并且频繁给一个账号发送邮件,被盗取邮件信息了。

继续排查:查看定时任务
ls /var/spool/cron

查看用户
cat /etc/passwd
这里我们发现root是 /bin/bash,bin是/sbin/nologin
文章中作者的bin用户登录方式是shell.也就是/bin/bash
使用cat /etc/group可以查看所有组:

当然万金油grep可以配合管道符加在这些命令后进行定向搜索。

使用top命令可以监控linux系统状况,比如cpu,内存的使用。

当被入侵后很有可能系统命令都被更换:
处理办法,可以先备份,查看

审查奇怪的可执行文件
比如文章中出现的:/sbin/ttyload,/sbin/ttymon
极有可能就是后门进程。
然后可以分析其如何开机启动,以及调用的文件。

使用lsof可以列出当前系统打开文件。
文中作者使用lsof -p 端口
查出进程连接到了一个美国域名。

如何防范:
1.iptables是个好东西,提供四层的包过滤防护功能,运用得到可以防止很多安全隐患
2.host.deny/allow 存在于Iptables之下的硬性防护措施,虽不灵活但安全性高。
3.Selinux,虽麻烦,但对于保护系统安全非常重要
4.sshd的策略,禁止root以及修改端口是个不错的方法
5.密码复杂性以及定期更换密码、检查系统账号是系统管理员的日常工作
6.第三方监控以及监控脚本是个不错的策略,zabbix和cacti都支持监控系统登录用户
7.系统漏洞:尽量使用较新版本的二进制包部署服务器的应用程序
8.第三方软件:fail2ban和denyhost这两款防护软件
9.合理运用权限位控制系统文件被修改