Linux入侵排查步骤
一:查看异常的进程
a、查看cpu占用最多的进程
运行top命令 交互式P键会根据CPU的占用大小进行排序
有的时候会遇到top之后cpu显示特别的低,但是服务器还特别的卡,有可能是隐藏进程占
用了CPU,可以使用unhide或者busybox查看是否有隐藏的进程
b、占用内存最多的进程
运行top命令 交互式M键会根据MEM的占用大小进行排序
c、查找进程文件的位置
ls -la /proc/$pid/exe
有的时候会遇到文件被删除了,可以dump出来检测是否是病毒木马 readlink /proc/$pid/exe cat /proc/$pid/exe > 1.txt
Dump下来上传到virustotal检查是否是病毒或者木马
https://www.virustotal.com/gui/home/upload
二:查看异常的端口\ip
netstat -tunlp | grep -E -i“est|lis”
熟悉自己业务的人有经验的人一眼就能看出ip或者端口是否有问题,可以通过微步https://x.threatbook.cn/ 检测ip
三:查看是否有异常的定时任务
Crontab -l
cront相关目录:/etc/cron.d/、/etc/cron.daily/、/etc/cron.monthly/、/etc/hourly/、/etc/weekly/、 /etc/crontab、/etc/anacrontab、 /var/spool/ancron/、 /var/spool/cron/
查看账号是否有定时任务:cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
有的时候我们删除定时任务,过一会一看任务就又有了很大可能是
/etc/ld.so.preload 被加载了木马so文件,需要先清理ld.so.preload 动态加载项
四:账号列表
查看/etc/passwd、/etc/shadow、/etc/group是否有异常的账号
五:查看是否有异常登录
Lastlog 显示所有用户最近的登录信息 /var/log/lastlog
Last 列出截止目前登录过系统的用户信息
W 查看当前的登录账号信息
可以通过/var/log/secure文件 查看登录成功、失败等信息
六:查看最近一段时间被修改的文件
查找入侵时间点修改的文件
find / -type f -newermt "2022-03-25 15:39" ! -newermt "2022-03-25 15:41"
命令替换
rpm -Va | grep 命令绝对路径 /usr/bin usr/sbin /usr/local/bin /usr/local/sbin
七:查找敏感目录下是否有异常的文件或者隐藏文件
/root、/home、/tmp /var/tmp、/etc/init.d/
/root 下的.bashrc\.bash_profile\.bash_logout\.ssh下的host,authorized_keys是否有异常。
异常文件删除的时候有的时候会报:rm: cannot remove ‘1’: Operation not permitted
有可能文件被加了ia锁,lsattr查看文件是否加锁,chattr解锁。
例如:find /root -type f -exec lsattr {} \; 查看root目录下所有文件。
find /root -type f -exec chattr -ai {} \; 去掉ia锁
有的时候去不掉,可以确认下目录是否加了ia锁或者使用busybox chattr 进行解锁
八: 异常开机启动项
/etc/rc.local
/etc/rc.d/
/etc/rc.[0..6]d/
Chkconfig --list
九:服务删除之后过了一会又起来了
a、ps -axu 看是否有wget对外的异常链接
b、/etc/systemd/system/multi-user.target.wants 是否有服务的软连接
c、可以先kill -STOP $id 先禁止然后在进行排查
服务器要做好安全加固避免被入侵,尤其是重要的数据要做好备份避免被加密勒索。
a、定期安装系统补丁
b、安全组仅对外开放业务端口
c、定期做镜像、快照备份
d、不要安装来源不明软件
e、使用含有数字、大小写字母、特殊符号的密码
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。