手動(dòng)檢測(cè)是否被入侵?

入侵檢測(cè)原理：

基于日志（Audit日志為主，監(jiān)控系統(tǒng)調(diào)用，網(wǎng)絡(luò)訪問(wèn)，新建進(jìn)程，隱藏進(jìn)程）

威脅情報(bào)（根據(jù)IP，文件，隱藏的文件，隱藏進(jìn)程，suid文件）

文件完整性

命令審計(jì)，進(jìn)程做的所有操作通過(guò)安全庫(kù)進(jìn)行判斷；

病毒木馬庫(kù)（后門(mén)、Rootkit、病毒木馬等）；

Gitlab代碼是否又被修改過(guò)，用gitdiff查看 查看代碼的日志 代碼是否有被改動(dòng)過(guò) 查看服務(wù)器日志 是否有被劫持 查看登錄記錄 查看非法sql語(yǔ)句執(zhí)行記錄

secure的登錄日志，看有沒(méi)有成功的異地IP登錄 用md5工具查看，是否有文件被修改過(guò)的 看日志，是否有被刪除，是否有異常日志 看歷史記錄， 看audit審計(jì)，是否執(zhí)行了異常的syscall 查看異常進(jìn)程 查看異常端口 查看堡壘機(jī)日志，是否有異常操作，比如傳輸文件，比如安裝程序；

用NIDS查看，是否有網(wǎng)絡(luò)異常行為， rpm -Va，看哪些包被替換了；

看這臺(tái)機(jī)器的外聯(lián)IP，用tcpdump抓包 用威脅情報(bào)查看這個(gè)外聯(lián)IP tcpdump抓包一小時(shí)，用wireshark分析 查看當(dāng)前運(yùn)行的內(nèi)核模塊 查看一個(gè)可執(zhí)行文件對(duì)應(yīng)的庫(kù)文件，是否正常 ldd，strace 查看dns日志記錄，看是否有惡意的域名記錄 應(yīng)用程序日志，被滲透日志 find被滲透時(shí)間內(nèi)被修改過(guò)的文件；

然后分析這些文件 服務(wù)器登錄記錄，tty等 看運(yùn)行了什么應(yīng)用，各個(gè)應(yīng)用的日志 從防火墻上看到這臺(tái)機(jī)器的網(wǎng)絡(luò)連接日志 用戶信息文件/etc/passwd who，w，uptime看哪些用戶在登陸 查看特權(quán)用戶，uid=0 弱密碼掃描一遍，所有應(yīng)用和ssh 基線檢測(cè)掃描一遍 看有沒(méi)有重大漏洞，比如未授權(quán)等，漏洞掃描一遍 more /etc/sudoers，看可以切換到root的用戶 /etc/profile .bash_profile .bashrc /etc/rc.d/rc.local /etc/rc.d/init.d /etc/rc.d/rc.sysinit /etc/inittab vim /etc/cron里的每一個(gè)文件；ls /etc/rc.d/rc3.d /etc/rc.sysinit /etc/rc.d/所有 /etc/fstab vim /etc/bashrc ~/.bash_login ~/.profile ~/.bash_profile ~/.xinitrc ~/.xserverrc 不允許有這個(gè)圖形配置文件 /etc/init.d 查看是否有惡意腳本 ls /tmp 這里是高權(quán)限目錄 cron日志，看自動(dòng)任務(wù)都有什么

/var/spool/cron/* 看一下目錄是否也有惡意腳本 /etc/crontab

/etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*

more /etc/cron.daily/* 查看目錄下所有文件 掃描webshell 看php的代碼文件是否被修改過(guò) /var/log/cron 記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志 /var/log/cups 記錄打印信息的日志 /var/log/dmesg 記錄了系統(tǒng)在開(kāi)機(jī)時(shí)內(nèi)核自檢的信息，也可以使用dmesg命令直接查看內(nèi)核自檢信息 /var/log/mailog 記錄郵件信息 /var/log/message 記錄系統(tǒng)重要信息的日志。

這個(gè)日志文件中會(huì)記錄Linux系統(tǒng)的絕大多數(shù)重要信息，如果系統(tǒng)出現(xiàn)問(wèn)題時(shí)，首先要檢查的就應(yīng)該是這個(gè)日志文件 /var/log/btmp 記錄錯(cuò)誤登錄日志，這個(gè)文件是二進(jìn)制文件，不能直接vi查看，而要使用lastb命令查看 /var/log/lastlog 記錄系統(tǒng)中所有用戶最后一次登錄時(shí)間的日志，這個(gè)文件是二進(jìn)制文件，不能直接vi，而要使用lastlog命令查看 /var/log/wtmp 永久記錄所有用戶的登錄、注銷(xiāo)信息，同時(shí)記錄系統(tǒng)的啟動(dòng)、重啟、關(guān)機(jī)事件。

同樣這個(gè)文件也是一個(gè)二進(jìn)制文件，不能直接vi，而需要使用last命令來(lái)查看 /var/log/utmp 記錄當(dāng)前已經(jīng)登錄的用戶信息，這個(gè)文件會(huì)隨著用戶的登錄和注銷(xiāo)不斷變化，只記錄當(dāng)前登錄用戶的信息。

同樣這個(gè)文件不能直接vi，而要使用w,who,users等命令來(lái)查詢(xún) /var/log/secure 記錄驗(yàn)證和授權(quán)方面的信息，只要涉及賬號(hào)和密碼的程序都會(huì)記錄，比如SSH登錄，su切換用戶，sudo授權(quán)，甚至添加用戶和修改用戶密碼都會(huì)記錄在這個(gè)日志文件中

chkrootkit rootkit檢查一遍?

rkhunter Clamav https://github.com/grayddq/GScan?

安全檢查腳本

https://github.com/ppabc/security_check?

https://github.com/T0xst/linux?more /etc/sudoers?

查找所有suid和guid文件，find . -perm /2000 find . -perm /4000 /root/.ssh/authorized_keys?

看誰(shuí)能免密登陸我 /root/.ssh/known_hosts?

誰(shuí)成功登陸過(guò)我 看ssh進(jìn)程 ls -al /usr/sbin/sshd cat /usr/sbin/sshd alias stat /lib/security/pam_unix.so #32位 stat /lib64/security/pam_unix.so #64位 看/usr/sbin/nologin文件是否被修改，被修改成bash則證明所有用戶能登錄；查看所有的連接文件，看su或bash是否出現(xiàn)在不該出現(xiàn)的位置 是否有這個(gè)文件/etc/ld.so.preload echo $LD_PRELOAD /usr/lib/ld.so unhide proc 用unhide工具找隱藏進(jìn)程 查找所有隱藏文件 /etc/profile、/.bash_login、/.bashrc、/etc/bashrc、/etc/profile.d/*.sh

木馬后門(mén)排查路徑

Linux后門(mén)就那么幾種：

反彈shell

修改系統(tǒng)配置形成的后門(mén)；

修改系統(tǒng)bin文件，隱藏的后門(mén)

修改庫(kù)文件，隱藏的后門(mén)

內(nèi)核態(tài)的rootkit；

基于文件，新建進(jìn)程的木馬后門(mén)；7

除了rootkit類(lèi)似的隱藏木馬，其他都能查出來(lái)；木馬都有自我恢復(fù)功能，在處理的時(shí)候，要一次性執(zhí)行所有指令清除木馬；遍歷Linux系統(tǒng)下的所有文件，并查看文件類(lèi)型，用file指令，如果是elf類(lèi)型的文件就輸出，看他是不是異常的疑似木馬；crontab -l /etc/crontab /etc/profile ->/etc/enviroment -->$HOME/.profile -->$HOME/.env /etc/init.d/ /etc/rc.d/init.d /etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/ /etc/rc.local /etc/profile /etc /bashrc $HOME/.bash_profile $HOME/.bashrc $HOME/.bash_login $HOME/.profile ~/.bash_logout /tmp /dev/shm /etc/passwd

ps -ef看沒(méi)用的進(jìn)程 netstat -anplt 看沒(méi)用的目標(biāo)IP 看服務(wù)器支持什么開(kāi)發(fā)語(yǔ)言，有什么應(yīng)用，找應(yīng)用對(duì)應(yīng)數(shù)據(jù)目錄下的腳本（尤其是用戶上傳目錄和頭像等目錄）；每個(gè)用戶默認(rèn)的家目錄，因?yàn)樗麍?zhí)行rce，只能在自己的家目錄生效；全盤(pán)查找elf類(lèi)型的文件 last, lastlog grep -i Accepted /var/log/secure /var/spool/cron/ /etc/cron.hourly /etc/crontab find / -ctime 1 /usr/lib/systemd/system /etc/systemd/system chkconfig --list

檢查/etc/passwd和/etc/shadow文件，是否有可疑用戶 檢查臨時(shí)目錄/tmp、/vat/tmp、/dev/shm，這些目錄權(quán)限是1777，容易被上傳木馬文件 查看自啟動(dòng)的服務(wù) pstree lsof：1. 進(jìn)程使用的文件， 2. 文件被哪個(gè)進(jìn)程使用，3. 使用某個(gè)端口的進(jìn)程， 4. 系統(tǒng)打開(kāi)的端口 iftop 監(jiān)控每個(gè)socket使用的網(wǎng)絡(luò)流量 nethogs 監(jiān)控每個(gè)進(jìn)程使用的網(wǎng)絡(luò)流量 strings輸出文件中可打印的字符 /var/spool/cron/root /var/spool/cron/crontabs/root /var/spool/anacron/cron.{daily，weekly，monthly} /etc/anacrontab 如果有php防止是webshell

其余的殺毒軟件，只能用在下線機(jī)器上，進(jìn)行溯源使用：clamav殺毒引擎、rkhunter、chkrootkit find -type f -name .php -exec chmod 444 {} ; grep -r –include=.php '[^a-z]eval($_POST' . > grep.txt grep -r –include=.php 'file_put_contents(。$_POST[.*]);' . > grep.txt

后門(mén)查找 /etc/passwd ssh公鑰刪除沒(méi)用的 visudo find / -perm /4000 找所有suid文件 防止ssh軟連接，查找無(wú)用的開(kāi)放端口 有可能把sshd等命令已經(jīng)替換了，都替換成了帶有后門(mén)的程序了。有可能把庫(kù)文件都給替換了；w uptime last lastlog lastb who strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.' 1、root的歷史命令 histroy 2、打開(kāi)/home各帳號(hào)目錄下的.bash_history，查看普通帳號(hào)的歷史命令 /var/log/secure /var/log/message /var/log/yum.log

執(zhí)行l(wèi)ast,lastlog命令，查看最近登錄的賬戶和登錄時(shí)間，鎖定異常賬戶。執(zhí)行g(shù)rep -i Accepted /var/log/secure命令，查看遠(yuǎn)程登錄成功的IP地址。執(zhí)行以下命令，查找計(jì)劃任務(wù)。/var/spool/cron/ /etc/cron.hourly /etc/crontab 執(zhí)行find / -ctime 1通過(guò)文件狀態(tài)最后修改時(shí)間來(lái)查找木馬文件。檢查/etc/passwd和/etc/shadow文件，確認(rèn)是否有可疑用戶。檢查臨時(shí)目錄/tmp、/vat/tmp、/dev/shm下的文件，這些目錄權(quán)限是1777，容易被上傳木馬文件。查看端口對(duì)外的服務(wù)日志是否存在異常，例如：tomcat、nginx。執(zhí)行service --status-all | grep running，查看當(dāng)前運(yùn)行的服務(wù)中是否存在異常。執(zhí)行chkconfig --list | grep :on，查看自啟動(dòng)的服務(wù)中是否存在異常。執(zhí)行l(wèi)s -lt /etc/init.d/ | head，查看是否有異常啟動(dòng)腳本

ps aux查看進(jìn)程，是否有su、（無(wú)橫杠-）的bash、chsh、chfn進(jìn)程；vim /root/.bashrc(所有用戶下都看下) alias 看一下這個(gè)顯示有沒(méi)有異常信息；主要看文件md5值改變了就要注意；vim /var/spool/cron/用戶名 這個(gè)就是crontab -l調(diào)用的文件，必須用vim看，隱藏的任務(wù)是cat查不出來(lái)的；/tmp下面的可疑文件全刪，這里一般和業(yè)務(wù)沒(méi)關(guān)系，但是權(quán)限是最大的目錄。把所有用戶下的.ssh目錄下的證書(shū)刪除，只保留堡壘機(jī)等業(yè)務(wù)需要的；cat /etc/ls.so.preload cat /etc/ld.so.cache echo $LD_AUDIT echo $LD_PRELOAD 看/proc下的所有進(jìn)程Id統(tǒng)計(jì)和ps -ef出來(lái)的不一樣，就證明有隱藏進(jìn)程；vi /etc/hosts.allow 查看里面是否有惡意代碼 清理/etc/passwd下，沒(méi)有空密碼的用戶；刪除socat命令

審核編輯：黃飛

?