Always been imitated
Never surpassed

Linux(centos)系统被黑

一般系统被黑,会伴随着cpu ,内存 ,带宽占用都会出现异常 。但是网站访问,会程序原因也会造成这些现象。
所以需要我们分析了,这里总结了一些常用方法:

1.查进程  ,ps  和top  netstat命令
一般会使用ps -aux     top    netstat -anpl  检测状态和系统进程是否有异常
(这些在座的同学都耍的飞了吧,不重点说明,上图)

1.jpg

如果有以上一些没见过的异常进程,那么明显被黑。(是否进一步检查看我们心情了 -.-)

可以使用ls /proc/进程号/exe  查看程序执行文件

2.jpg
然后strace /usr/sbin/httpd 跟踪下程序(这里不多讲了,有兴趣的同学可以继续-.-)
3.jpg

前面的我们轻松找到和判断被黑,是不是感觉很简单,很自信了,当然对于一些比较嚣张或着急的黑客这么干的,但是有一些无明显异常的木马或程序,
服务器表现很平常,或者木马程序定时发作或者只是修改一些文件,这种就很隐蔽。大多数同学找不到凶手,然后对着黑乎乎的屏幕,不知所措,其实还是有迹可循的,那我们慢慢道来

2.查账户(对比win)
一般使用
less /etc/passwd       ls -l /etc/passwd
4.jpg

查看用户,以及最近修改时间 经验核实下是否存在异常用户 ,这是我们常用的命令,下面说下不常用有时却很有效的一些命令
grep :x:0: /etc/passwd             检查uid为0的用户,至高权限的账号的UID为0,标准输出只有一个,如果有多个,说明不知一个超级用户
也可以使用grep :0: /etc/passwd   检查新用户或默认用户,UID、GID是0的用户。
如果发现异常用户,可以确定被黑,高兴的打上我们的标准处理方案。其实大部分时间异常用户判断还是需要结合系统出现异常时的日志进行分析

3.检查日志
日志方向很多,/var/log/messages和/var/log/secure一般还是已核实登陆日志为主
可使用last 查询 正常情况下登录到本机的所有用户的历史记录
5.jpg

或more /var/log/secure
6.jpg
如果有异常用户,可以确定异常用户和登陆,那么系统一般就被黑了。
(以上是否是windows系统的一些排查方法,linux同样适用,赞!终于说出来了。。。)
前面三步,大部分的异常都能被排查处理,但是一些高级的黑客可能会删除或修改日志,无法核实到日志怎么办呢,还是有其他办法的

4.检查常规启动脚本 ,以及系统启动项目chkconfig(当前模式)
/etc/rc.d  /etc/rc.d/init.d   /etc/rc.local

5.检查文件最近修改时间

一般对文件的修改可以做详细的区别并查询,对查看,修改内容和修改权限分别检查如下:上图

7.jpg

6.检查任务计划

cat /etc/crontab 发现异常的可以删除观察
8.jpg

7.history  命令

可以核实到一些异常操作,缺点是总是被最先删除 囧

8.检查防火墙是否放行异常端口或程序

9.jpg

看到我这个0规则截图,好吧测试主机什么规则都没有,这里也该结束了,结合自身经验和查询资料,不足的希望同学们下来指正

赞(0)
@请尊重原创,未经允许不得转载:军S小站 » Linux(centos)系统被黑

抢沙发

评论前必须登录!

 

智慧源于勤奋,伟大出自平凡

联系我们

© 2019 军S小站   ©备案号: 蜀ICP备17043886号-2    网站地图   友情链接