Linux 被入侵后的检查

rgfsd2 · 发表于 2015-4-1 09:01:09

Linux 被入侵后的检查
1. 检查用户登录记录
[iyunv@sky]# more /var/log/secure    <==安全信息和系统登录与网络连接的信息
[iyunv@sky]# who /var/log/wtmp <==查看哪些用户在什么时间通过什么IP登录到本机

2. 检查网络连接和监听端口
[iyunv@sky]#  netstat -an       #列出本机所有的连接和监听的端口，查看有没有非法连接
[iyunv@sky]# netstat -rn    #查看本机的路由、网关设置是否正确
[iyunv@sky]#  ifconfig –a       #查看网卡设置
3. 检查帐户
[iyunv@sky]# less /etc/passwd
[iyunv@sky]# grep :0: /etc/passwd       #检查是否产生了新用户，和UID、GID是0的用户
[iyunv@sky]# ls -l /etc/passwd       #查看文件修改日期
[iyunv@sky]# awk -F: ‘$3= =0 {print $1}’ /etc/passwd       #查看是否存在特权用户
[iyunv@sky]#awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow       #查看是否存在空口令帐户

4. 检查日志
[iyunv@sky]# last       #查看正常情况下登录到本机的所有用户的历史记录
注意”entered promiscuous mode”
注意错误信息
注意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

5. 检查进程
[iyunv@sky]# ps -aux    #注意UID是0的
[iyunv@sky]# lsof -p pid    #察看该进程所打开端口和文件
[iyunv@sky]# cat /etc/inetd.conf | grep -v “^#”    #检查守护进程
检查隐藏进程
[iyunv@sky]# ps -ef|awk ‘{print }’|sort -n|uniq >1
[iyunv@sky]# ls /porc |sort -n|uniq >2
[iyunv@sky]# diff 1 2

6. 检查文件
[iyunv@sky]# find / -uid 0 –perm -4000 –print
[iyunv@sky]# find / -size +10000k –print
[iyunv@sky]# find / -name “…” –print
[iyunv@sky]# find / -name “.. ” –print
[iyunv@sky]# find / -name “. ” –print
[iyunv@sky]# find / -name ” ” –print
注意SUID文件，可疑大于10M和空格文件
[iyunv@sky]# find / -name core -exec ls -l {} ;    #检查系统中的core文件
检查系统文件完整性
[iyunv@sky]# rpm –qf /bin/ls
[iyunv@sky]# rpm -qf /bin/login
[iyunv@sky]# md5sum –b 文件名
[iyunv@sky]# md5sum –t 文件名

7. 检查RPM
[iyunv@sky]# rpm –Va
输出格式：
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin

8. 检查网络
[iyunv@sky]# ip link | grep PROMISC   #正常网卡不该在promisc模式，可能存在sniffer
[iyunv@sky]# lsof –i
[iyunv@sky]# netstat –nap    #察看不正常打开的TCP/UDP端口
[iyunv@sky]# arp –a

9. 检查计划任务
注意root和UID是0的schedule
[iyunv@sky]# crontab –u root –l
[iyunv@sky]# cat /etc/crontab
[iyunv@sky]# ls /etc/cron.*

10. 检查后门
[iyunv@sky]# cat /etc/crontab
[iyunv@sky]# ls /var/spool/cron/
[iyunv@sky]# cat /etc/rc.d/rc.local
[iyunv@sky]# ls /etc/rc.d
[iyunv@sky]# ls /etc/rc3.d
[iyunv@sky]# find / -type f -perm 4000

11. 检查内核模块
[iyunv@sky]# lsmod

12. 检查系统服务
[iyunv@sky]# chkconfig
[iyunv@sky]# rpcinfo -p #查看RPC服务

13. 检查rootkit
linux下rootkit检测扫描工具rootkit hunter的安装使用
安装 rkhunter：
安装 rkhunter 其实真的很简单！首先，您必须前往下载网页进行下载，下载点：http://www.rootkit.nl/projects/rootkit_hunter.html
在该网页的最下方有个 downloads ，请选择最新版本来下载。也可以直接使用命令下载：
[iyunv@test root]#wget http://downloads.sourceforge.net ... gz?use_mirror=jaist
# 此时会产生生一个名为 rkhunter 的目录！

[iyunv@test root]#tar -zxvf rkhunter-1.3.4.tar.gz
解压编译
[iyunv@test root]#cd rkhunter-1.3.4
[iyunv@test root]#./installer.sh --layout default --install

# 此时会产生一新目录 /usr/local/rkhunter
# 该目录内含有一些本系统的重要资料，例如 md5 编码的资料等等。
# 另外，检测程式会放置在 /usr/local/bin/rkhunter
检测系统：
[iyunv@test root]# rkhunter -checkall

Rootkit Hunter 1.1.8 is running
Determining OS... Ready

# 第一部份，先进行 binary 的检测，包括 MD5 的检测
Checking binaries
* Selftests
   Strings (command)                                     [ OK ]
* System tools
  Performing 'known good' check...
/sbin/ifconfig                                           [ OK ]
....(略)....
/sbin/runlevel                                           [ OK ]
[Press  to continue]    这里按下 Enter 才能继续！
# 在第一部份的检测当中，主要的工作就是在检验一些系统重要的 binary files，
# 这些档案就是常被 root kit 程式包攻击的范围！所以首先就得要检测
# 接下来进行第二部分的检测
Check rootkits
* Default files and directories
Rootkit '55808 Trojan - Variant A'...                   [ OK ]
ADM Worm...                                              [ OK ]
....(略)....
Rootkit 'zaRwT.KiT Rootkit'...                            [ OK ]

* Suspicious files and malware
Scanning for known rootkit strings                      [ OK ]
....(略)....
Sniffer logs                                              [ OK ]

[Press  to continue]    这里按下 Enter 才能继续
# 第二部分就是在检测常见的 rootkit 程式包所造成的系统伤害
# 这部分的检测当然就是针对各个常见的 rootkit 攻击的档案/目录来侦测
# 接下来是第三部分的检测
* Trojan specific characteristics
shv4
   Checking /etc/rc.d/rc.sysinit
   Test 1                                              [ Clean ]
....(略)....
   Checking /etc/xinetd.conf                               [ Clean ]

* Suspicious file properties
chmod properties
   Checking /bin/ps                                        [ Clean ]
....(略)....
   Checking /bin/login                                     [ Clean ]

* OS dependant tests
Linux
   Checking loaded kernel modules...                      [ OK ]
   Checking files attributes                               [ OK ]
   Checking LKM module path                               [ OK ]

Networking
* Check: frequently used backdoors
  Port 2001: Scalper Rootkit                               [ OK ]
  Port 60922: zaRwT.KiT                                     [ OK ]

* Interfaces
   Scanning for promiscuous interfaces                   [ OK ]

[Press  to continue]    这里按下 Enter 才能继续
# 第三部分在检测木马以及可疑的档案属性
# 当然，因為木马程式可能会开后门，所以网路服务(port)也在这里检测
# 同时还包含核心模组等等的检测
#再来则是第四部分
System checks
* Allround tests
Checking hostname... Found. Hostname is test.vbird.tw
Checking for passwordless user accounts... OK
Checking for differences in user accounts...             [ NA ]
Checking for differences in user groups... Creating file It seems
         this is your first time.
Checking boot.local/rc.local file...
   - /etc/rc.local                                        [ OK ]
   - /etc/rc.d/rc.local                                  [ OK ]
   - /usr/local/etc/rc.local                               [ Not found ]
....(略)....
* Filesystem checks
Checking /dev for suspicious files...                   [ OK ]
Scanning for hidden files...                            [ OK ]

[Press  to continue]    这里按下 Enter 才能继续
# 第四部分主要在进行系统开机与相关服务的检测
# rc.local 与 password/accounts 的检测都会在这里进行检查
# 此外，在 /dev 裡面也会检查是否有被影响的档案
#接下来是第五部分
Application advisories
* Application scan
Checking Apache2 modules ...                            [ Not found ]
Checking Apache configuration ...                         [ OK ]

* Application version scan
- GnuPG 1.2.1                                           [ Vulnerable ]
- Bind DNS [unknown]                                     [ OK ]
- OpenSSL 0.9.7a                                        [ Vulnerable ]
- Procmail MTA 3.22                                     [ OK ]
- OpenSSH 3.7.1p2                                        [ Unknown ]

Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd...                            [ Found ]
Checking users with UID '0' (root)...                   [ OK ]

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login...       [ OK (Remote root login disabled) ]
Checking for allowed protocols...       [ OK (Only SSH2 allowed) ]

* Check: Events and Logging
Search for syslog configuration...                      [ OK ]
Checking for running syslog slave...                      [ OK ]
Checking for logging to remote system...  [ OK (no remote logging) ]

[Press  to continue]    这里按下 Enter 才能继续
# 第五部分在检查一些常见的服务的套件版本！
# 因为仅检查版本资讯而已，并没有针对可能的漏洞去攻击，
# 所以，这裡的资讯有可能是误判的，不要怀疑
# 我的 OpenSSL 0.9.7a 是已经经过官方 patch 的版本，也就是说，
# 他已经封住漏洞了，但是这裡却显示有问题！原因就是这样啦！

---------------------------- Scan results ----------------------------
MD5
MD5 compared: 51
Incorrect MD5 checksums: 0

File scan
Scanned files: 328
Possible infected files: 0

Application scan
Vulnerable applications: 2

Scanning took 114 seconds
-----------------------------------------------------------------------
# 最后这里是作一个输出的总结！我们可以在这里看到
# 最终的简单资料，透过这个资料，可以了解系统目前的状态

账号		自动登录	找回密码
密码			立即注册

Centos6.5×64安装配置openmeetings3.0.3详

大疆运维招人啦，

C++ :try 语句块和异常处理

C++的多态

Red Hat RHCE 8 (EX294) Cert Guide

Java/C++ 区别：看完这一篇，就够用！

别再用过时库了！这 13 个顶级 C++ 库才是

[经验分享] Linux 被入侵后的检查

相关帖子

浏览过的版块

扫码加入运维网微信交流群