6.【應急響應】Linux入侵排查思路

0x01 入侵排查思路

1、帳號安全

基本使用:html

一、用戶信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
二、影子文件/etc/shadow
root:$6$7LZU11L9$OrxD.7wkmCopj58AM5azR1M5/fqndWSHJwpniKJhMqPhxxsnpnaAbRkevpsKwBAOpq0JwVs66RE6.8U9ctHGT/:17767:0:99999:7:::
用戶名:加密密碼:密碼最後一次修改日期:兩次密碼的修改時間間隔:密碼有效期:密碼修改到期到的警告天數:密碼過時以後的寬限天數:帳號失效時間:保留

who      查看當前登陸用戶(tty本地登錄  pts遠程登陸)
w        查看系統信息,想知道某一時刻用戶的行爲
uptime    查看登錄多久、多少用戶,負載
 

入侵排查:linux

一、查詢特權用戶特權用戶(uid 爲0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
二、查詢能夠遠程登陸的賬號信息
[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
三、除root賬號外,其餘賬號是否存在sudo權限。如非管理須要,普通賬號應刪除sudo權限
[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
四、禁用或刪除多餘及可疑的賬號
usermod -L user    禁用賬號,賬號沒法登陸,/etc/shadow第二欄爲!開頭
userdel user       刪除user用戶
userdel -r user    將刪除user用戶,而且將/home目錄下的user目錄一併刪除

 

2、歷史命令

基本使用:web

經過.bash_history查看賬號執行過的系統命令
一、root的歷史命令shell

histroy

二、打開/home各賬號目錄下的.bash_history,查看普通賬號的歷史命令,數據庫

爲歷史的命令增長登陸的IP地址、執行命令時間等信息:vim

 1)保存1萬條命令
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

                 2)在/etc/profile的文件尾部添加以下行數配置信息:windows

######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########

                3)source /etc/profile讓配置生效安全

生成效果: 1  2018-07-10 19:45:39 192.168.204.1 root source /etc/profile

三、歷史操做命令的清除:history -cbash

但此命令並不會清除保存在文件中的記錄,所以須要手動刪除.bash_profile文件中的記錄。網絡

入侵排查:

進入用戶目錄下

cat .bash_history >> history.txt

 

3、端口

使用netstat 網絡鏈接命令,分析可疑端口、IP、PID

netstat -antlp|more

查看下pid所對應的進程文件路徑,

運行   ls -l /proc/$PID/exe  或  file /proc/$PID/exe($PID 爲對應的pid 號)

 

4、進程

使用ps命令,分析進程

ps aux | grep pid 

 

5、開機啓動項

基本使用:

系統運行級別示意圖:

 運行級別  含義
 0  關機
 1  單用戶模式,能夠想象爲windows的安全模式,主要用於系統修復,用於系統維護,禁止遠程登錄
 2  不徹底的命令行模式,不含NFS服務
 3  徹底的命令行模式,就是標準字符界面
 4  系統保留
 5  圖形模式
 6  系統正常關閉並重啓,默認運行級別不能設爲6,不然不能正常啓動
 

查看運行級別命令

runlevel  

系統默認容許級別

vim  /etc/inittab
id=3:initdefault 系統開機後直接進入哪一個運行級別

開機啓動配置文件

/etc/rc.local
/etc/rc.d/rc[0~6].d

例子:當咱們須要開機啓動本身的腳本時,只須要將可執行腳本丟在/etc/init.d目錄下,而後在/etc/rc.d/rc*.d中創建軟連接便可

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此處sshd是具體服務的腳本文件,S100ssh是其軟連接,S開頭表明加載時自啓動;若是是K開頭的腳本文件,表明運行級別加載時須要關閉的。

入侵排查:

啓動項文件:

more /etc/rc.local
/etc/rc.d/rc[0~6].d
ls -l /etc/rc.d/rc3.d/

 

6、定時任務

基本使用

一、利用crontab建立計劃任務

  • 基本命令

crontab -l   列出某個用戶cron服務的詳細內容

Tips:默認編寫的crontab文件會保存在 (/var/spool/cron/用戶名 例如: /var/spool/cron/root
crontab -r 刪除每一個用戶cront任務(謹慎:刪除全部的計劃任務)
crontab -e 使用編輯器編輯當前的crontab文件

如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分鐘寫入文件

二、利用anacron實現異步定時任務調度

  • 使用案例

天天運行 /home/backup.sh腳本:

vim /etc/anacrontab
@daily 10 example.daily /bin/bash /home/backup.sh
當機器在 backup.sh 指望被運行時是關機的,anacron會在機器開機十分鐘以後運行它,而不用再等待7天。

入侵排查

重點關注如下目錄中是否存在惡意腳本

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

小技巧:

 more /etc/cron.daily/*  查看目錄下全部文件

 

7、服務

服務自啓動

第一種修改方法:

chkconfig [--level 運行級別] [獨立服務名] [on|off]

chkconfig –level 2/3/4/5 httpd on 開啓自啓動
chkconfig httpd on (默認level是2/3/4/5)

第二種修改方法:

修改 /etc/re.d/rc.local 文件  

加入 /etc/init.d/httpd start

第三種修改方法:

使用ntsysv命令管理自啓動,能夠管理獨立服務和xinetd服務。

入侵排查

一、查詢已安裝的服務:

RPM包安裝的服務

chkconfig  --list  查看服務自啓動狀態,能夠看到全部的RPM包安裝的服務

ps aux | grep crond 查看當前服務 系統在3與5級別下的啓動項: 中文環境 chkconfig --list | grep "3:啓用\|5:啓用" 英文環境 chkconfig --list | grep "3:on\|5:on"

源碼包安裝的服務

查看服務安裝位置 ,通常是在/user/local/
service httpd start
搜索/etc/rc.d/init.d/  查看是否存在

 

8、系統日誌

日誌默認存放位置:/var/log/

查看日誌配置狀況:

more /etc/rsyslog.conf
日誌文件 說明
/var/log/cron 記錄了系統定時任務相關的日誌
/var/log/cups 記錄打印信息的日誌
/var/log/dmesg 記錄了系統在開機時內核自檢的信息,也可使用dmesg命令直接查看內核自檢信息
/var/log/mailog 記錄郵件信息
/var/log/message 記錄系統重要信息的日誌。這個日誌文件中會記錄Linux系統的絕大多數重要信息,若是系統出現問題時,首先要檢查的就應該是這個日誌文件
/var/log/btmp 記錄錯誤登陸日誌,這個文件是二進制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog 記錄系統中全部用戶最後一次登陸時間的日誌,這個文件是二進制文件,不能直接vi,而要使用lastlog命令查看
/var/log/wtmp 永久記錄全部用戶的登陸、註銷信息,同時記錄系統的啓動、重啓、關機事件。一樣這個文件也是一個二進制文件,不能直接vi,而須要使用last命令來查看
/var/log/utmp 記錄當前已經登陸的用戶信息,這個文件會隨着用戶的登陸和註銷不斷變化,只記錄當前登陸用戶的信息。一樣這個文件不能直接vi,而要使用w,who,users等命令來查詢
/var/log/secure 記錄驗證和受權方面的信息,只要涉及帳號和密碼的程序都會記錄,好比SSH登陸,su切換用戶,sudo受權,甚至添加用戶和修改用戶密碼都會記錄在這個日誌文件中

日誌分析技巧:

1、定位有多少IP在爆破主機的root賬號:    
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

        定位有哪些IP在爆破:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

       爆破用戶名字典是什麼?

 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

 

2、登陸成功的IP有哪些:  

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登陸成功的日期、用戶名、IP:

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

3、增長一個用戶kali日誌:

Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

#grep "useradd" /var/log/secure

4、刪除用戶kali日誌:

Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

# grep "userdel" /var/log/secure

5、su切換用戶:

Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo受權執行:

sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

 

 

0x03 工具篇

1、Rootkit查殺

 

  • chkrootkit  

網址:http://www.chkrootkit.org

使用方法:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
#編譯完成沒有報錯的話執行檢查
./chkrootkit

 

 

  • rkhunter

網址:http://rkhunter.sourceforge.net

使用方法:
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c

 

2、病毒查殺

  • Clamav

ClamAV的官方下載地址爲:http://www.clamav.net/download.html

安裝方式一:

一、安裝zlib:
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz 
tar -zxvf  zlib-1.2.7.tar.gz
cd zlib-1.2.7

#安裝一下gcc編譯環境: yum install gcc
CFLAGS="-O3 -fPIC" ./configure --prefix= /usr/local/zlib/
make && make install

二、添加用戶組clamav和組成員clamav:

groupadd clamav
useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

三、安裝Clamav

 
tar –zxvf clamav-0.97.6.tar.gz
cd clamav-0.97.6
./configure --prefix=/opt/clamav --disable-clamav -with-zlib=/usr/local/zlib
make
make install
四、配置Clamav
mkdir /opt/clamav/logs
mkdir /opt/clamav/updata
touch /opt/clamav/logs/freshclam.log
touch /opt/clamav/logs/clamd.log
cd /opt/clamav/logs
chown clamav:clamav clamd.log
chown clamav:clamav freshclam.log
五、ClamAV 使用:
 /opt/clamav/bin/freshclam 升級病毒庫
./clamscan –h 查看相應的幫助信息
./clamscan -r /home  掃描全部用戶的主目錄就使用
./clamscan -r --bell -i /bin  掃描bin目錄而且顯示有問題的文件的掃描結果
 

安裝方式二:

#安裝
yum install -y clamav
#更新病毒庫
freshclam
#掃描方法
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
#掃描並殺毒
clamscan -r  --remove  /usr/bin/bsd-port
clamscan -r  --remove  /usr/bin/
clamscan -r --remove  /usr/local/zabbix/sbin
#查看日誌發現
cat /root/usrclamav.log |grep FOUND
 

3、webshell查殺

linux版:

河馬webshell查殺:http://www.shellpub.com
深信服Webshell網站後門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
 

4、RPM check檢查

系統完整性能夠經過rpm自帶的-Va來校驗檢查全部的rpm軟件包,查看哪些命令是否被替換了:

./rpm -Va > rpm.log

若是一切均校驗正常將不會產生任何輸出,若是有不一致的地方,就會顯示出來,輸出格式是8位長字符串,每一個字符都用以表示文件與RPM數據庫中一種屬性的比較結果 ,若是是. (點) 則表示測試經過。

驗證內容中的8個信息的具體內容以下:
       
s 文件大小是否改變
M
文件的類型或文件的權限(rwx)是否被改變
5
文件MD5校驗是否改變(能夠當作文件內容是否改變)
D
設備中,從代碼是否改變
L
文件路徑是否改變
U
文件的屬主(全部者)是否改變
G
文件的屬組是否改變
T
文件的修改時間是否改變

若是命令被替換了,如何去還原回來:

文件提取還原過程:
rpm  -qf /bin/ls  查詢ls命令屬於哪一個軟件包
mv  /bin/ls /tmp  先把ls轉移到tmp目錄下,形成ls命令丟失的假象
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命令到當前目錄的/bin/ls下
cp /root/bin/ls  /bin/ 把ls命令複製到/bin/目錄 修復文件丟失
相關文章
相關標籤/搜索