记一次Linux服务器被入侵后的排查思

　　账号安全：1、用户信息文件/etc/passwd

#格式：account:password:UID:GID:GECOS:directory:shell#用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的shellroot:x:0:0:root:/root:/bin/bash

#查看可登录用户：cat/etc/passwd

grep/bin/bash#查看UID=0的用户awk-F:$==0{print$1}/etc/passwd#查看sudo权限的用户more/etc/sudoers

grep-v"^#\

^$"

grep"ALL=(ALL)"注意：无密码只允许本机登陆，远程不允许登陆2、影子文件：/etc/shadow

#用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留root:$6$oGs1PqhL2pZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/::0::7:::、查看当前登录用户及登录时长

who#查看当前登录系统的所有用户（tty本地登陆pts远程登录）w#显示已经登录系统的所用用户，以及正在执行的指令uptime#查看登陆多久、多少用户，负载状态4、排查用户登录信息

查看最近登录成功的用户及信息

#显示loggedin表示用户还在登录#pts表示从SSH远程登录#tty表示从控制台登录，就是在服务器旁边登录last查看最近登录失败的用户及信息：

#ssh表示从SSH远程登录#tty表示从控制台登录sudolastb显示所有用户最近一次登录信息：

lastlog在排查服务器的时候，黑客没有在线，可以使用last命令排查黑客什么时间登录的有的黑客登录时，会将/var/log/wtmp文件删除或者清空，这样我们就无法使用last命令获得有用的信息了。在黑客入侵之前，必须使用chattr+a对/var/log/wtmp文件进行锁定，避免被黑客删除5、sudo用户列表

/etc/sudoers入侵排查：

#查询特权用户特权用户(uid为0)：awk-F:$==0{print$1}/etc/passwd#查询可以远程登录的帐号信息：awk/\$1

\$6/{print$1}/etc/shadow#除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限：more/etc/sudoers

grep-v"^#\

^$"

grep"ALL=(ALL)"#禁用或删除多余及可疑的帐号usermod-Luser#禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头userdeluser#删除user用户userdel-ruser#将删除user用户，并且将/home目录下的user目录一并删除通过.bash\_history文件查看帐号执行过的系统命令：打开/home各帐号目录下的.bash_history，查看普通帐号执行的历史命令。为历史的命令增加登录的IP地址、执行命令时间等信息：

#1、保存1万条命令：sed-is/^HISTSIZE=/HISTSIZE=0/g/etc/profile#2、在/etc/profile的文件尾部添加如下行数配置信息：USER_IP=`who-uami2/dev/null

awk{print$NF}

sed-es/[()]//g`if["$USER_IP"=""]thenUSER_IP=`hostname`fiexportHISTTIMEFORMAT="%F%T$USER_IP`whoami`"shopt-shistappendexportPROMPT_COMMAND="history-a"#、让配置生效source/etc/profile注意：历史操作命令的清除：history-c该操作并不会清除保存在文件中的记录，因此需要手动删除.bash\_profile文件中的记录检查端口连接情况：

netstat-antlp

more使用ps命令，分析进程，得到相应pid号:

psaux

grep查看pid所对应的进程文件路径：

#$PID为对应的pid号ls-l/proc/$PID/exe或file/proc/$PID/exe分析进程：

#根据pid号查看进程lsof-p#通过服务名查看该进程打开的文件lsof-csshd#通过端口号查看进程：lsof-i:22查看进程的启动时间点：

ps-p-olstart根据pid强行停止进程：

kill-9注意：如果找不到任何可疑文件，文件可能被删除，这个可疑的进程已经保存到内存中，是个内存进程。这时需要查找PID然后kill掉检查开机启动项：系统运行级别示意图：运行级别含义0关机1单用户模式，可以想象为windows的安全模式，主要用于系统修复2不完全的命令行模式，不含NFS服务完全的命令行模式，就是标准字符界面4系统保留5图形模式6重启动查看运行级别命令：

runlevel开机启动配置文件:

/etc/rc.local/etc/rc.d/rc[0~6].d启动Linux系统时，会运行一些脚本来配置环境——rc脚本。在内核初始化并加载了所有模块之后，内核将启动一个守护进程叫做init或init.d。这个守护进程开始运行/etc/init.d/rc中的一些脚本。这些脚本包括一些命令，用于启动运行Linux系统所需的服务开机执行脚本的两种方法：

在/etc/rc.local的exit0语句之间添加启动脚本。脚本必须具有可执行权限

用update-rc.d命令添加开机执行脚本1、编辑修改/etc/rc.local2、update-rc.d：此命令用于安装或移除System-V风格的初始化脚本连接。脚本是存放在/etc/init.d/目录下的，当然可以在此目录创建连接文件连接到存放在其他地方的脚本文件。此命令可以指定脚本的执行序号，序号的取值范围是0-99，序号越大，越迟执行。当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc_.d文件中建立软链接即可语法：update-rc.d脚本名或服务remove

defaults

disable

enable

#1、在/etc/init.d目录下创建链接文件到后门脚本：ln-s/home/b4yi/kali-.elf/etc/init.d/backdoor#2、用update-rc.d命令将连接文件backdoor添加到启动脚本中去sudoupdate-rc.dbackdoordefaults99开机即执行。入侵排查：

more/etc/rc.local/etc/rc.d/rc[0~6].dls-l/etc/rc.d/rc.d/计划任务排查：需要注意的几处利用cron的路径：

crontab-l#列出当前用户的计时器设置crontab-r#删除当前用户的cron任务上面的命令实际上是列出了/var/spool/cron/crontabs/root该文件的内容：/etc/crontab只允许root用户修改/var/spool/cron/存放着每个用户的crontab任务，每个任务以创建者的名字命名/etc/cron.d/将文件写到该目录下，格式和/etc/crontab相同把脚本放在/etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/目录中，让它每小时/天/星期/月执行一次小技巧：

more/etc/cron.daily/*查看目录下所有文件入侵排查：重点

转载请注明：http://www.lwblm.com/bzbk/12524.html