搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      如何鑒別Linux服務(wù)器是否被入侵

      馬哥Linux運維 ? 來源:Devops技術(shù)棧 ? 作者:Devops技術(shù)棧 ? 2022-03-16 10:08 ? 次閱讀

      隨著開源產(chǎn)品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑒別異常機器是否已經(jīng)被入侵了顯得至關(guān)重要,個人結(jié)合自己的工作經(jīng)歷,整理了幾種常見的機器被黑情況供參考。

      背景信息:以下情況是在CentOS 6.9的系統(tǒng)中查看的,其它Linux發(fā)行版類似。

      1.入侵者可能會刪除機器的日志信息

      可以查看日志信息是否還存在或者是否被清空,相關(guān)命令示例:

      1b943486-9332-11ec-952b-dac502259ad0.png

      2.入侵者可能創(chuàng)建一個新的存放用戶名及密碼文件

      可以查看/etc/passwd及/etc/shadow文件,相關(guān)命令示例:

      1ba51788-9332-11ec-952b-dac502259ad0.png

      3.入侵者可能修改用戶名及密碼文件

      可以查看/etc/passwd及/etc/shadow文件內(nèi)容進行鑒別,相關(guān)命令示例:

      1bb1e260-9332-11ec-952b-dac502259ad0.png

      4.查看機器最近成功登陸的事件和最后一次不成功的登陸事

      對應(yīng)日志“/var/log/lastlog”,相關(guān)命令示例:

      1bc7d99e-9332-11ec-952b-dac502259ad0.png

      5.查看機器當前登錄的全部用戶

      對應(yīng)日志文件“/var/run/utmp”,相關(guān)命令示例:

      1bd96740-9332-11ec-952b-dac502259ad0.png

      6.查看機****器創(chuàng)建以來登陸過的用戶

      對應(yīng)日志文件“/var/log/wtmp”,相關(guān)命令示例:

      1be702b0-9332-11ec-952b-dac502259ad0.png

      7.查看機器所有用戶的連接時間(小時)

      對應(yīng)日志文件“/var/log/wtmp”,相關(guān)命令示例:

      1bfa42a8-9332-11ec-952b-dac502259ad0.png

      8.如果發(fā)現(xiàn)機器產(chǎn)生了異常流量

      可以使用命令“tcpdump”抓取網(wǎng)絡(luò)包查看流量情況或者使用工具”iperf”查看流量情況

      9.可以查看/var/log/secure日志文件

      嘗試發(fā)現(xiàn)入侵者的信息,相關(guān)命令示例:

      1c08c490-9332-11ec-952b-dac502259ad0.png

      10.查詢異常進程所對應(yīng)的執(zhí)行腳本文件

      a.top命令查看異常進程對應(yīng)的PID

      1c1a9e54-9332-11ec-952b-dac502259ad0.jpg

      b.在虛擬文件系統(tǒng)目錄查找該進程的可執(zhí)行文件

      1c2e1998-9332-11ec-952b-dac502259ad0.png

      11.如果確認機器已被入侵,重要文件已被刪除,可以嘗試找回被刪除的文件Note:

      1、當進程打開了某個文件時,只要該進程保持打開該文件,即使將其刪除,它依然存在于磁盤中。這意味著,進程并不知道文件已經(jīng)被刪除,它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外,這個文件是不可見的,因為已經(jīng)刪除了其相應(yīng)的目錄索引節(jié)點。

      2、在/proc 目錄下,其中包含了反映內(nèi)核和進程樹的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域,所以這些文件和目錄并不存在于磁盤中,因此當我們對這些文件進行讀取和寫入時,實際上是在從內(nèi)存中獲取相關(guān)信息。大多數(shù)與 lsof 相關(guān)的信息都存儲于以進程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件,它們可以使得應(yīng)用程序簡單地了解進程的內(nèi)存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來產(chǎn)生其輸出。所以lsof 可以顯示進程的文件描述符和相關(guān)的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關(guān)信息。

      3、當系統(tǒng)中的某個文件被意外地刪除了,只要這個時候系統(tǒng)中還有進程正在訪問該文件,那么我們就可以通過lsof從/proc目錄下恢復(fù)該文件的內(nèi)容。

      假設(shè)入侵者將/var/log/secure文件刪除掉了,嘗試將/var/log/secure文件恢復(fù)的方法可以參考如下:

      a.查看/var/log/secure文件,發(fā)現(xiàn)已經(jīng)沒有該文件

      1c3a67d4-9332-11ec-952b-dac502259ad0.png

      b.使用lsof命令查看當前是否有進程打開/var/log/secure,

      1c4a1684-9332-11ec-952b-dac502259ad0.png

      c.從上面的信息可以看到 PID 1264(rsyslogd)打開文件的文件描述符為4。同時還可以看到/var/log/ secure已經(jīng)標記為被刪除了。因此我們可以在/proc/1264/fd/4(fd下的每個以數(shù)字命名的文件表示進程對應(yīng)的文件描述符)中查看相應(yīng)的信息,如下:

      1c5c8c74-9332-11ec-952b-dac502259ad0.jpg

      d.從上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢復(fù)的數(shù)據(jù)。如果可以通過文件描述符查看相應(yīng)的數(shù)據(jù),那么就可以使用I/O重定向?qū)⑵渲囟ㄏ虻轿募校?

      1c6ed780-9332-11ec-952b-dac502259ad0.png

      e.再次查看/var/log/secure,發(fā)現(xiàn)該文件已經(jīng)存在。對于許多應(yīng)用程序,尤其是日志文件和數(shù)據(jù)庫,這種恢復(fù)刪除文件的方法非常有用。

      1c7b6702-9332-11ec-952b-dac502259ad0.jpg

      原文標題:11 個步驟完美排查服務(wù)器是否被入侵

      文章出處:【微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      審核編輯:湯梓紅

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • Linux
        +關(guān)注

        關(guān)注

        87

        文章

        11161

        瀏覽量

        208461
      • 服務(wù)器
        +關(guān)注

        關(guān)注

        12

        文章

        8843

        瀏覽量

        84946
      • 開源
        +關(guān)注

        關(guān)注

        3

        文章

        3181

        瀏覽量

        42238

      原文標題:11 個步驟完美排查服務(wù)器是否被入侵

      文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        linux服務(wù)器和windows服務(wù)器

        Linux服務(wù)器和Windows服務(wù)器是目前應(yīng)用最廣泛的兩種服務(wù)器操作系統(tǒng)。兩者各有優(yōu)劣,也適用于不同的應(yīng)用場景。本文將 對Linux
        發(fā)表于 02-22 15:46

        教你linux搭建web服務(wù)器

        教你linux搭建web服務(wù)器和大家分享了一份配置文檔,希望對您用linux搭建web服務(wù)器有所啟發(fā)。
        發(fā)表于 12-28 14:18 ?8823次閱讀

        基于Linux系統(tǒng)的FTP服務(wù)器的實現(xiàn)

        為了在Linux系統(tǒng)下實現(xiàn)安全、高效的FTP服務(wù)器,選擇了具有小巧輕快、安全易用等優(yōu)點的服務(wù)器軟件vsftpd。通過對Linux平臺下FTP網(wǎng)絡(luò)服務(wù)
        發(fā)表于 07-24 15:36 ?39次下載

        入侵服務(wù)器的癥狀分析與應(yīng)對方法

        本指南中所謂的服務(wù)器入侵或者說被黑了的意思,是指未經(jīng)授權(quán)的人或程序為了自己的目的登錄到服務(wù)器上去并使用其計算資源,通常會產(chǎn)生不好的影響。
        的頭像 發(fā)表于 12-25 10:26 ?3746次閱讀

        解析Linux如何判斷自己的服務(wù)器是否入侵的檢測方法

        如何判斷自己的服務(wù)器是否入侵了呢?僅僅靠兩只手是不夠的,但兩只手也能起到一些作用,我們先來看看UNIX系統(tǒng)上一些入侵檢測方法,以
        的頭像 發(fā)表于 01-13 10:27 ?5953次閱讀

        排查Linux機器入侵的11個步驟

        隨著開源產(chǎn)品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑒別異常機器是否已經(jīng)入侵了顯得至關(guān)重要,個人結(jié)合自己的工作經(jīng)歷,整理了幾
        的頭像 發(fā)表于 08-08 14:42 ?2659次閱讀
        排查<b class='flag-5'>Linux</b>機器<b class='flag-5'>被</b><b class='flag-5'>入侵</b>的11個步驟

        如何查看云服務(wù)器是否遭受過網(wǎng)絡(luò)攻擊

        服務(wù)器怎么查看攻擊?有時候云服務(wù)器出現(xiàn)異常,有可能是人為操作不當引起的,也有可能是系統(tǒng)被黑客入侵了。
        發(fā)表于 01-05 11:26 ?2274次閱讀

        linux如何搭建web服務(wù)器

        linux搭建web服務(wù)器流程如下
        發(fā)表于 06-08 09:09 ?9134次閱讀
        <b class='flag-5'>linux</b>如何搭建web<b class='flag-5'>服務(wù)器</b>

        Linux服務(wù)器入侵導(dǎo)致凍結(jié)的過程

        來自:看雪論壇,作者:Hefe https://bbs.pediy.com/thread-225163.htm 不一會運維的同事也到了,氣喘吁吁的說:我們有臺服務(wù)器阿里云凍結(jié)了,理由:對外惡意發(fā)包
        的頭像 發(fā)表于 09-01 16:11 ?3157次閱讀

        服務(wù)器入侵挖礦的過程與解決方法

        常在河邊走,哪能不濕鞋。自認為安全防范意識不錯,沒想到服務(wù)器入侵挖礦的事情也能落到自己頭上。
        的頭像 發(fā)表于 07-22 16:47 ?6691次閱讀

        如何在linux服務(wù)器中打開端口

        有時我們可能需要在Linux服務(wù)器中打開端口或在Linux服務(wù)器的防火墻中啟用端口來運行特定的應(yīng)用程序。在本文中,小編將帶大家分析一下如何在linu
        的頭像 發(fā)表于 10-17 16:22 ?1.2w次閱讀

        服務(wù)器數(shù)據(jù)恢復(fù)】斷電導(dǎo)致linux服務(wù)器數(shù)據(jù)區(qū)索引清除的數(shù)據(jù)恢復(fù)

        linux服務(wù)器連接到準備好的數(shù)據(jù)恢復(fù)服務(wù)器上,以只讀模式對服務(wù)器數(shù)據(jù)做鏡像備份,備份完成后將服務(wù)器歸還用戶。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作
        的頭像 發(fā)表于 01-13 13:34 ?711次閱讀

        如何使用Checkmk監(jiān)控Linux服務(wù)器?

        `Checkmk` 是用于監(jiān)控 Linux 服務(wù)器的最常用和用戶友好的應(yīng)用程序之一。它可以檢查與您的 Linux 服務(wù)器連接的服務(wù)器狀態(tài)、負
        的頭像 發(fā)表于 02-17 10:46 ?1093次閱讀
        如何使用Checkmk監(jiān)控<b class='flag-5'>Linux</b><b class='flag-5'>服務(wù)器</b>?

        手動檢測是否入侵

        Gitlab代碼是否又被修改過,用gitdiff查看 查看代碼的日志 代碼是否改動過 查看服務(wù)器日志 是否有被劫持 查看登錄記錄 查看非
        發(fā)表于 02-29 10:45 ?898次閱讀

        服務(wù)器入侵現(xiàn)象、排查和處理步驟

        近期有一個朋友的服務(wù)器(自己做了網(wǎng)站)好像遭遇了入侵,具體現(xiàn)象是: 服務(wù)器 CPU 資源長期 100%,負載較高。 服務(wù)器上面的服務(wù)不能正常
        發(fā)表于 03-22 10:56 ?1001次閱讀
        <b class='flag-5'>服務(wù)器</b><b class='flag-5'>入侵</b>現(xiàn)象、排查和處理步驟

        感谢您访问我们的网站,您可能还对以下资源感兴趣:

        色视频在线