共計(jì) 7357 個字符，預(yù)計(jì)需要花費(fèi) 19 分鐘才能閱讀完成。

這篇文章給大家分享的是有關(guān) Linux 中如何實(shí)現(xiàn)入侵排查的內(nèi)容。丸趣 TV 小編覺得挺實(shí)用的，因此分享給大家做個參考，一起跟隨丸趣 TV 小編過來看看吧。

賬號安全：

1、用戶信息文件 /etc/passwd

#  格式：account:password:UID:GID:GECOS:directory:shell #  用戶名：密碼：用戶 ID：組 ID：用戶說明：家目錄：登陸之后的  shell root:x:0:0:root:/root:/bin/bash

#  查看可登錄用戶： cat /etc/passwd | grep /bin/bash #  查看 UID= 0 的用戶  awk -F:  $3==0{print $1}  /etc/passwd #  查看 sudo 權(quán)限的用戶  more /etc/sudoers | grep -v  ^#\|^$  | grep  ALL=(ALL)

注意：無密碼只允許本機(jī)登陸，遠(yuǎn)程不允許登陸

2、影子文件：/etc/shadow

#  用戶名：加密密碼：密碼最后一次修改日期：兩次密碼的修改時(shí)間間隔：密碼有效期：密碼修改到期到的警告天數(shù)：密碼過期之后的寬限天數(shù)：賬號失效時(shí)間：保留  root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

3、查看當(dāng)前登錄用戶及登錄時(shí)長

who #  查看當(dāng)前登錄系統(tǒng)的所有用戶（tty  本地登陸  pts  遠(yuǎn)程登錄） w #  顯示已經(jīng)登錄系統(tǒng)的所用用戶，以及正在執(zhí)行的指令  uptime #  查看登陸多久、多少用戶，負(fù)載狀態(tài)

4、排查用戶登錄信息

  查看最近登錄成功的用戶及信息  

#  顯示 logged in 表示用戶還在登錄  # pts 表示從 SSH 遠(yuǎn)程登錄  # tty 表示從控制臺登錄，就是在服務(wù)器旁邊登錄  last

  查看最近登錄失敗的用戶及信息： 

# ssh 表示從 SSH 遠(yuǎn)程登錄  # tty 表示從控制臺登錄  sudo lastb

  顯示所有用戶最近一次登錄信息： 

lastlog

在排查服務(wù)器的時(shí)候，黑客沒有在線，可以使用 last 命令排查黑客什么時(shí)間登錄的有的黑客登錄時(shí)，會將 /var/log/wtmp 文件刪除或者清空，這樣我們就無法使用 last 命令獲得有用的信息了。

在黑客入侵之前，必須使用 chattr + a 對 /var/log/wtmp 文件進(jìn)行鎖定，避免被黑客刪除

5、sudo 用戶列表

/etc/sudoers

入侵排查：

#  查詢特權(quán)用戶特權(quán)用戶(uid  為 0)： awk -F:  $3==0{print $1}  /etc/passwd #  查詢可以遠(yuǎn)程登錄的帳號信息： awk  /\$1|\$6/{print $1}  /etc/shadow #  除 root 帳號外，其他帳號是否存在 sudo 權(quán)限。如非管理需要，普通帳號應(yīng)刪除 sudo 權(quán)限： more /etc/sudoers | grep -v  ^#\|^$  | grep  ALL=(ALL)  #  禁用或刪除多余及可疑的帳號  usermod -L user #  禁用帳號，帳號無法登錄，/etc/shadow  第二欄為  !  開頭  userdel user #  刪除  user  用戶  userdel -r user #  將刪除  user  用戶，并且將  /home  目錄下的  user  目錄一并刪除

通過.bash\_history 文件查看帳號執(zhí)行過的系統(tǒng)命令：

打開 /home 各帳號目錄下的 .bash_history，查看普通帳號執(zhí)行的歷史命令。

為歷史的命令增加登錄的 IP 地址、執(zhí)行命令時(shí)間等信息：

# 1、保存 1 萬條命令： sed -i  s/^HISTSIZE=1000/HISTSIZE=10000/g  /etc/profile # 2、在 /etc/profile 的文件尾部添加如下行數(shù)配置信息： USER_IP=`who -u am i 2 /dev/null | awk  {print $NF}  | sed -e  s/[()]//g ` if [  $USER_IP  =   ] then USER_IP=`hostname` fi export HISTTIMEFORMAT= %F %T $USER_IP `whoami`   shopt -s histappend export PROMPT_COMMAND= history -a  # 3、讓配置生效  source /etc/profile

注意：歷史操作命令的清除：history -c

該操作并不會清除保存在文件中的記錄，因此需要手動刪除.bash\_profile 文件中的記錄

檢查端口連接情況：

netstat -antlp | more

使用 ps 命令，分析進(jìn)程，得到相應(yīng) pid 號:

ps aux | grep 6666

查看 pid 所對應(yīng)的進(jìn)程文件路徑：

# $PID  為對應(yīng)的  pid  號  ls -l /proc/$PID/exe  或  file /proc/$PID/exe

分析進(jìn)程：

#  根據(jù) pid 號查看進(jìn)程  lsof -p 6071 #  通過服務(wù)名查看該進(jìn)程打開的文件  lsof -c sshd #  通過端口號查看進(jìn)程： lsof -i :22

查看進(jìn)程的啟動時(shí)間點(diǎn)：

ps -p 6071 -o lstart

根據(jù) pid 強(qiáng)行停止進(jìn)程：

kill -9 6071

注意：如果找不到任何可疑文件，文件可能被刪除，這個可疑的進(jìn)程已經(jīng)保存到內(nèi)存中，是個內(nèi)存進(jìn)程。這時(shí)需要查找 PID 然后 kill 掉

檢查開機(jī)啟動項(xiàng)：

系統(tǒng)運(yùn)行級別示意圖：

運(yùn)行級別含義 0 關(guān)機(jī) 1 單用戶模式，可以想象為 windows 的安全模式，主要用于系統(tǒng)修復(fù) 2 不完全的命令行模式，不含 NFS 服務(wù) 3 完全的命令行模式，就是標(biāo)準(zhǔn)字符界面 4 系統(tǒng)保留 5 圖形模式 6 重啟動

查看運(yùn)行級別命令：

runlevel

開機(jī)啟動配置文件:

/etc/rc.local /etc/rc.d/rc[0~6].d

啟動 Linux 系統(tǒng)時(shí)，會運(yùn)行一些腳本來配置環(huán)境 mdash; mdash;rc 腳本。在內(nèi)核初始化并加載了所有模塊之后，內(nèi)核將啟動一個守護(hù)進(jìn)程叫做 init 或 init.d。這個守護(hù)進(jìn)程開始運(yùn)行 /etc/init.d/rc 中的一些腳本。這些腳本包括一些命令，用于啟動運(yùn)行 Linux 系統(tǒng)所需的服務(wù)

開機(jī)執(zhí)行腳本的兩種方法：

  在 /etc/rc.local 的 exit 0 語句之間添加啟動腳本。腳本必須具有可執(zhí)行權(quán)限

  用 update-rc.d 命令添加開機(jī)執(zhí)行腳本

1、編輯修改 /etc/rc.local

2、update-rc.d：此命令用于安裝或移除 System- V 風(fēng)格的初始化腳本連接。腳本是存放在 /etc/init.d/ 目錄下的，當(dāng)然可以在此目錄創(chuàng)建連接文件連接到存放在其他地方的腳本文件。

此命令可以指定腳本的執(zhí)行序號，序號的取值范圍是 0-99，序號越大，越遲執(zhí)行。

當(dāng)我們需要開機(jī)啟動自己的腳本時(shí)，只需要將可執(zhí)行腳本丟在 /etc/init.d 目錄下，然后在 /etc/rc.d/rc_.d 文件中建立軟鏈接即可

語法：

 update-rc.d 腳本名或服務(wù) remove|defaults|disable|enable  

#1、在 /etc/init.d 目錄下創(chuàng)建鏈接文件到后門腳本： ln -s /home/b4yi/kali-6666.elf /etc/init.d/backdoor #2、用  update-rc.d  命令將連接文件  backdoor  添加到啟動腳本中去  sudo update-rc.d backdoor defaults 99

開機(jī)即執(zhí)行。

入侵排查：

more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

計(jì)劃任務(wù)排查：

需要注意的幾處利用 cron 的路徑：

crontab -l #  列出當(dāng)前用戶的計(jì)時(shí)器設(shè)置  crontab -r #  刪除當(dāng)前用戶的 cron 任務(wù)

上面的命令實(shí)際上是列出了 /var/spool/cron/crontabs/root 該文件的內(nèi)容：

 /etc/crontab 只允許 root 用戶修改

 /var/spool/cron/ 存放著每個用戶的 crontab 任務(wù)，每個任務(wù)以創(chuàng)建者的名字命名

 /etc/cron.d/ 將文件寫到該目錄下，格式和 /etc/crontab 相同

  把腳本放在 /etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/ 目錄中，讓它每小時(shí) / 天 / 星期 / 月執(zhí)行一次

小技巧：

more /etc/cron.daily/*  查看目錄下所有文件

入侵排查：

重點(diǎn)關(guān)注以下目錄中是否存在惡意腳本;

/var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*

入侵排查：

查詢已安裝的服務(wù)：

RPM 包安裝的服務(wù)：

chkconfig --list  查看服務(wù)自啟動狀態(tài)，可以看到所有的 RPM 包安裝的服務(wù)  ps aux | grep crond  查看當(dāng)前服務(wù)   系統(tǒng)在 3 與 5 級別下的啟動項(xiàng)   中文環(huán)境  chkconfig --list | grep  3: 啟用 \|5: 啟用   英文環(huán)境  chkconfig --list | grep  3:on\|5:on

源碼包安裝的服務(wù):

查看服務(wù)安裝位置  ，一般是在 /user/local/ service httpd start  搜索 /etc/rc.d/init.d/  查看是否存在

異常文件檢查：

按照三種方式查找修改的文件：

按照名稱

依據(jù)文件大小

按照時(shí)間查找

  根據(jù)名稱查找文件  

find / -name a.Test #  如果文件名記不全，可使用通配符 * 來補(bǔ)全  #  如果不區(qū)分大小寫，可以將 -name  替換為 -iname

  依據(jù)文件大小查找： 

find / -size +1000M # +1000M 表示大于 1000M 的文件，-10M 代表小于 10M 的文件

  依據(jù)時(shí)間查找： 

# -atime  文件的訪問時(shí)間  # -mtime  文件內(nèi)容修改時(shí)間  # -ctime  文件狀態(tài)修改時(shí)間（文件權(quán)限，所有者 / 組，文件大小等，當(dāng)然文件內(nèi)容發(fā)生改變，ctime 也會隨著改變） #  要注意：系統(tǒng)進(jìn)程 / 腳本訪問文件，atime/mtime/ctime 也會跟著修改，不一定是人為的修改才會被記錄  #  查找最近一天以內(nèi)修改的文件： find / -mtime -1 -ls | more #  查找 50 天前修改的文件： find ./ -mtime +50 -ls

  根據(jù)屬主和屬組查找： 

-user  根據(jù)屬主查找  -group  根據(jù)屬組查找  -nouser  查找沒有屬主的文件  -nogroup  查找沒有屬組的文件  #  查看屬主是 root 的文件  find ./ -user root -type f # -type f 表示查找文件，-type d 表示查找目錄  #  注意：系統(tǒng)中沒有屬主或者沒有屬組的文件或目錄，也容易造成安全隱患，建議刪除。

  按照 CPU 使用率從高到低排序： 

ps -ef --sort -pcpu

  按照內(nèi)存使用率從高到低排序： 

ps -ef --sort -pmem

補(bǔ)充：

1、查看敏感目錄，如 /tmp 目錄下的文件，同時(shí)注意隱藏文件夾，以“..”為名的文件夾具有隱藏屬性。

2、得到發(fā)現(xiàn) WEBSHELL、遠(yuǎn)控木馬的創(chuàng)建時(shí)間，如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件？

可以使用 find 命令來查找，如 find /opt -iname * -atime 1 -type f 找出 /opt 下一天前訪問過的文件。

3、針對可疑文件可以使用 stat 進(jìn)行創(chuàng)建修改時(shí)間。

系統(tǒng)日志檢查：

日志默認(rèn)存放位置：/var/log/

必看日志：secure、history

查看日志配置情況：more /etc/rsyslog.conf

日志文件說明 /var/log/cron 記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志 /var/log/cups 記錄打印信息的日志 /var/log/dmesg 記錄了系統(tǒng)在開機(jī)時(shí)內(nèi)核自檢的信息，也可以使用 dmesg 命令直接查看內(nèi)核自檢信息 /var/log/mailog 記錄郵件信息 /var/log/message 記錄系統(tǒng)重要信息的日志。這個日志文件中會記錄 Linux 系統(tǒng)的絕大多數(shù)重要信息，如果系統(tǒng)出現(xiàn)問題時(shí)，首先要檢查的就應(yīng)該是這個日志文件 /var/log/btmp 記錄錯誤登錄日志，這個文件是二進(jìn)制文件，不能直接 vi 查看，而要使用 lastb 命令查看 /var/log/lastlog記錄系統(tǒng)中所有用戶最后一次登錄時(shí)間的日志，這個文件是二進(jìn)制文件，不能直接 vi，而要使用 lastlog 命令查看 /var/log/wtmp 永久記錄所有用戶的登錄、注銷信息，同時(shí)記錄系統(tǒng)的啟動、重啟、關(guān)機(jī)事件。同樣這個文件也是一個二進(jìn)制文件，不能直接 vi，而需要使用 last 命令來查看 /var/log/utmp 記錄當(dāng)前已經(jīng)登錄的用戶信息，這個文件會隨著用戶的登錄和注銷不斷變化，只記錄當(dāng)前登錄用戶的信息。同樣這個文件不能直接 vi，而要使用 w,who,users 等命令來查詢 /var/log/secure 記錄驗(yàn)證和授權(quán)方面的信息，只要涉及賬號和密碼的程序都會記錄，比如 SSH 登錄，su 切換用戶，sudo 授權(quán)，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中

/var/log/wtmp  登錄進(jìn)入，退出，數(shù)據(jù)交換、關(guān)機(jī)和重啟紀(jì)錄  /var/log/lastlog  文件記錄用戶最后登錄的信息，可用  lastlog  命令來查看。 /var/log/secure  記錄登入系統(tǒng)存取數(shù)據(jù)的文件，例如  pop3/ssh/telnet/ftp  等都會被記錄。 /var/log/cron  與定時(shí)任務(wù)相關(guān)的日志信息  /var/log/message  系統(tǒng)啟動后的信息和錯誤日志  /var/log/apache2/access.log apache access log

日志分析技巧：

1、定位有多少 IP 在爆破主機(jī)的 root 帳號： grep  Failed password for root  /var/log/secure | awk  {print $11}  | sort | uniq -c | sort -nr | more  定位有哪些 IP 在爆破： grep  Failed password  /var/log/secure|grep -E -o  (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?) |uniq -c  爆破用戶名字典是什么？ grep  Failed password  /var/log/secure|perl -e  while($_=){ /for(.*?) from/; print  $1\n } |uniq -c|sort -nr 2、登錄成功的 IP 有哪些： grep  Accepted   /var/log/secure | awk  {print $11}  | sort | uniq -c | sort -nr | more  登錄成功的日期、用戶名、IP： grep  Accepted   /var/log/secure | awk  {print $1,$2,$3,$9,$11}  3、增加一個用戶 kali 日志： Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001 Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali , shell=/bin/bash Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali #grep  useradd  /var/log/secure 4、刪除用戶 kali 日志： Jul 10 00:14:17 localhost userdel[2393]: delete user  kali  Jul 10 00:14:17 localhost userdel[2393]: removed group  kali  owned by  kali  Jul 10 00:14:17 localhost userdel[2393]: removed shadow group  kali  owned by  kali  # grep  userdel  /var/log/secure 5、su 切換用戶： Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0) sudo 授權(quán)執(zhí)行: sudo -l Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

感謝各位的閱讀！關(guān)于“Linux 中如何實(shí)現(xiàn)入侵排查”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！