一、Linux入侵排查思路
1、检测系统的账号安全
查询特权用户
查看UID为0的用户,排查可疑新用户
awk -F: '{if($3==0)print $1}' /etc/passwd
查询可以登录的用户
查看能够登录的用户
cat /etc/passwd |grep bin/bash
查看可以远程登录的账号
awk '/\$1|\$6/{print $1}' /etc/shadow
查看sudo用户列表,除了root账号外,其他账号是否存在sudo权限
查询除了root账号外,其他账号是否存在sudo权限(如非管理需要,普通账号应删除sudo权限)
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL) "
查看当前登录用户及登录时长
查看系统登录用户,常用命令有:who、w、uptime
who # 查看当前登录用户(tty本地登陆 pts远程登录)
uptime # 查看登陆多久、多少用户,负载状态
w # 显示已经登录系统的所有用户,以及正在执行的命令
查看用户登录信息
查看最近登录成功的用户信息
last
查看最近登录失败的用户信息
lastb
显示所有用户最近一次登录信息
lastlog
禁用或删除多余账号
禁用或者删除多余及可疑的账号
usermod -L user # 禁用账号,账号无法登录,/etc/shadow第二栏为!开头
userdel [-r] user # 伤处用户user,参数r表示将/home目录下的用户家目录一并删除
2、检查异常端口或进程
使用netstat命令查看端口连接情况,分析可疑端口、IP、PID等信息
netstat -antlp|more
Local Address(本地地址),查看有无重要端口被连接,如:22、3306等。
Foreign Address(外部地址),查看有无常用IP或可疑IP连接,IP可疑使用在线危险情报平台检索,如:微步在线。
PID/Program name(PID/程序名称),查看是否有可疑程序,如:bash可能为执行反弹shell。
查看PID所对应的进程文件路径
查看pid所对应的进程文件路径($PID为对应的pid号)
ls -l | /proc/$PID/exe
file /proc/$PID/exe
查看启动命令
ps --ef |grep $PID(效果同 ps aux |grep $PID)
查看pid进程启动的环境变量与命令行等信息
ps eho command -p $PID
查看pid进程启动时所在的目录
readlink /proc/$PID/cwd
3、检查启动项
有时木马或者病毒等脚本会隐藏在开机启动中,而Linux的启动项是取决于当前用户的运行级别的,查看运行级别命令:runlevel
运行级别 含义
0 关机
1 单用户模式,可以想象为windows的安全模式,主要用于系统修复
2 不完全的命令行模式,不含NFS服务
3 完全的命令行模式,就是标准字符界面
4 系统保留
5 图形模式
6 重新启动
开机启动配置文件
/etc/rc.local # /etc/rc.local是/etc/rc.d/rc.local的软连接
/etc/rc.d/rc[0~6].d # 0~6代表运行级别
当需要开机启动脚本时,将可执行脚本放在/etc/init.d/目录下,接着在/etc/rc.d/rc[0~6].d中建立软链接即可
入侵排查项
排查启动项文件,排查/etc/init.d/目录下是否存在可以的脚本或者文件,也可以排查原来的脚本是否被篡改(对关键文件做hash,然后进行对比)
4、检查系统自启动服务
查看系统的自启动服务,发现可疑服务,立即关停对应的服务
Centos7 查看自启服务
systemctl list-unit-files --type=service | grep "enabled"
Centos6 查看自启服务状态
chkconfig --list
Centos6 查看系统在运行级别为3级和5级下的启动项
chkconfig --list | grep "3:on\|5:on"
5、检查定时任务
入侵系统的黑客一般会使用crontab创建定期任务,如定期下载木马,定期下载挖矿病毒,定期进行内网扫描等等。
crontab命令
crontab -l #列出某个用户cron服务的详细内容
crontab -e #进入crontab任务编辑
crontab -r #删除所有计划任务
anacron命令
Linux系统创建定时任务除了crontab之外,还有一个工具是anacron。anacron是一个异步定时任务调度工具,用来弥补crontab的不足。
入侵排查项
重点关注以下目录是否存在恶意脚本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/* # 此目录下存放的是系统级任务的任务文件
/etc/anacrontab # 这个文件存着系统级的任务。它主要用来运行每日的(daily),每周的(weekly),每月的(monthly)的任务。
/var/spool/anacron/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
6、检查异常文件
查看敏感目录
发现Webshell、远控木马的创建时间,可以使用find命令来查找,如下命令:
找出 /opt 目录下一天前访问过的文件
find /opt -iname "*" -atime 1 -type f
-atime n # 表示查找文件的访问时间距离当前时间为n*24小时以内的文件
-atime +n # 表示查找文件的访问时间距离当前时间超过n*24小时的文件
-atime -n # 表示查找文件的访问时间距离当前时间不超过n*24小时的文件
针对可疑文件可以使用stat查看创建、修改以及访问时间
stat <文件名>
7、检查历史命令
查看当前用户的历史命令
history
查看其他用户的历史命令
打开/home各帐号目录下的.bash_history
cat .bash_history
如果用户的默认shell 是bash,那么bash会记录用户的默认历史记录
/.bash_history记录的是上一次登陆系统所执行过的命令,而当前登陆这一次则保存在内存缓存中,当系统关机/重启后会更新到/.bash_history文件中
清除历史操作命令
该命令并不会清楚保存在文件中的记录,需要手动删除~/.bash_history文件中的记录。
history -c
历史命令优化查看
1)增加历史命令查看条数,保存1万条命令配置
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
1
2)增加显示登录的IP和执行命令的时间信息,在/etc/profile的文件尾部添加如下行数配置信息
######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########
使配置生效:source /etc/profile
8、检查系统日志
系统日志默认存放位置:/var/log/
日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志
/var/log/cups 记录打印信息的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog 记录邮件信息
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
/var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看
/var/log/utmp 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w、who、users等命令来查询
/var/log/secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中
二、Linux入侵排查技巧
定位有多少IP在爆破主机的root帐号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
攻击者爆破哪些用户名
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
1
登录成功的IP有哪些
#登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
系统添加、删除用户的记录和时间
grep "useradd" /var/log/secure
grep "userdel" /var/log/secure
三、Linux入侵排查工具介绍
1、Rootkit查杀
Chkrootkit:http://www.chkrootkit.org
Rkhunter:http://rkhunter.sourceforge.net
2、病毒查杀
ClamAV:官方下载地址为:http://www.clamav.net/download.html
3、Webshell查杀linux版:
河马Webshell查杀:http://www.shellpub.com
4、linux安全检查脚本
https://github.com/grayddq/GScan
https://github.com/ppabc/security_check
https://github.com/T0xst/linux
四、善用威胁情报
威胁情报是识别和分析网络威胁的过程。威胁情报平台可以查出一些域名和IP地址得信誉度,一旦发现它们存在网络攻击痕迹可以迅速封禁。
微步在线
VirusTotal
安恒威胁分析平台
深信服威胁情报中心
VenusEye威胁情报中心
360威胁情报中心
安天威胁情报中心