Linux服务器安全基础 - 查看入侵痕迹

1. 常见系统日志

/var/log/cron 记录了系统定时任务相关的日志

/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息

/var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此.

/var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;

例如:lastb | awk '{ print $3}' | sort | uniq -c | sort -nr

/var/log/message:几乎所有的开机系统发生的错误都会在此记录;

/var/log/boot.log:记录一些开机或者关机启动的

/var/log/lastlog 记录每一个用户最后的登陆信息

2. 常用脚本

  1. 查询特权用户特权用户(uid 为0)

    awk -F: '$3==0{print $1}' /etc/passwd

如果发现除了 root 外还有别的账号,就要小心了。

  1. 查询可以远程登录的帐号信息

    awk '/$1|$6/{print $1}' /etc/shadow

  2. 除root帐号外,其他帐号是否存在sudo权限。

    more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

  3. 查询登录账号的历史命令

    cat ~用户名/.bash_history | more

此命令可看到操作命令和操作时间

  1. 检查异常端口和unix sockets

    netstat -ln

  1. 使用 ps 命令,分析进程

    ps aux

  1. 检查开机启动配置文件

    cat /etc/rc.local

重点关注以下目录中是否存在恶意脚本

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

  1. 列出某个用户cron服务的详细内容

    crontab -l

  2. 禁用或删除多余及可疑的帐号

usermod -L user # 禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头

userdel user # 删除 user 用户

userdel -r user # 将删除 user 用户,并且将 /home 目录下的 user 目录一并删除

  1. 查看可疑IP登录记录

    last -f /var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,

增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。

  1. 查看连接失败次数并按次数排序,显示前20行

    cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq -c | sort -nr | awk '{print $2" = "$1;}' | more

  1. 定位有多少IP在爆破主机的root帐号

    grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | awk '{print $2" = "$1;}'

  2. 爆破用户名字典

    grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

  3. 登录成功的IP有哪些

    grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

  4. 登录成功的日期、用户名、IP

    grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

相关推荐
waicsdn_haha5 分钟前
Java/JDK下载、安装及环境配置超详细教程【Windows10、macOS和Linux图文详解】
java·运维·服务器·开发语言·windows·后端·jdk
打鱼又晒网6 分钟前
linux网络套接字 | 深度解析守护进程 | 实现tcp服务守护进程化
linux·网络协议·计算机网络·tcp
良许Linux20 分钟前
0.96寸OLED显示屏详解
linux·服务器·后端·互联网
蜜獾云31 分钟前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
小屁不止是运维32 分钟前
麒麟操作系统服务架构保姆级教程(五)NGINX中间件详解
linux·运维·服务器·nginx·中间件·架构
Hacker_Oldv37 分钟前
WPS 认证机制
运维·服务器·wps
bitcsljl1 小时前
Linux 命令行快捷键
linux·运维·服务器
ac.char1 小时前
在 Ubuntu 下使用 Tauri 打包 EXE 应用
linux·运维·ubuntu
Cachel wood1 小时前
python round四舍五入和decimal库精确四舍五入
java·linux·前端·数据库·vue.js·python·前端框架
Youkiup1 小时前
【linux 常用命令】
linux·运维·服务器