2. 程式人生 > >Linux伺服器被黑客攻擊,安全檢查方法

Linux伺服器被黑客攻擊,安全檢查方法

阿新 發佈:2018-11-01

一、檢查系統密碼檔案,檢視檔案修改日期

# ls -l /etc/passwd

 

二、檢視 passwd 檔案中有哪些特權使用者

# awk -F: '$3==0 {print $1}' /etc/passwd

 

三、檢視系統裡有沒有空口令帳戶

# awk -F: 'length($2)==0 {print $1}' /etc/shadow

 

四、檢查系統守護程序

# cat /etc/xinetd.conf | grep -v "^#"     #這個程序在centos7以上沒有了

 

五、檢查網路連線和監聽埠

# netstat –an
# netstat –rn
# ifconfig –a

 

六、檢視正常情況下登入到本機的所有使用者的歷史記錄

# last

七、檢查系統中的 core 檔案

# find / -name core -exec ls -l {} \;

八、檢查系統檔案完整性

# rpm -Vf /bin/ls
# rpm -Vf /usr/sbin/sshd
# rpm -Vf /sbin/ifconfig
# rpm -Vf /usr/sbin/lsof

# md5sum –b 檔名
# md5sum –t 檔名

九、查詢是否有後門

# cat /etc/crontab   
# ls /var/spool/cron/ ; crontab -l     #檢視定時任務是否被修改
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000    #檢視是否為管理員增加或者修改

十、檢視臨時目錄是否存在攻擊者入侵時留下的殘餘檔案

#tail -n 100 ~/.bash_history | more

#是否存在.c .py .sh為字尾的檔案或者2進位制elf檔案
ls -la /tmp
ls -la /var/tmp
find / -name \*.elf | xargs ls -l

十一、在web目錄下執行

#檢視是否有木馬
grep -r "getRuntime" ./

#執行的時候被連線或者被任何程式呼叫
find . -type f -name "*.jsp" | xargs grep -i  "getRuntime"

#返回ip地址字串
find . -type f -name "*.jsp" | xargs grep -i  "getHostAddress"

#建立WshShell物件可以執行程式、操作登錄檔、建立快捷方式、訪問系統資料夾、管理環境變數
find . -type f -name "*.jsp" | xargs grep -i  "wscript.shell"

#gethostbyname()返回對應於給定主機名的包含主機名字和地址資訊的hostent結構指標
find . -type f -name "*.jsp" | xargs grep -i  "gethostbyname"

#呼叫系統命令提權
find . -type f -name "*.jsp" | xargs grep -i  "bash"

#Jsp木馬預設名字
find . -type f -name "*.jsp" | xargs grep -i  "jspspy"

#檢查是否有非授權訪問管理日誌
find . -type f -name "*.jsp" | xargs grep -i  "getParameter"

#要進中介軟體所在日誌目錄執行命令
fgrep –R "admin_index.jsp" 20170702.log > log.txt   #遞迴地讀取每個目錄下的所有檔案

#檢視是否出現對應的記錄
fgrep –R "and1=1" *.log > log.txt
fgrep –R "select " *.log > log.txt
fgrep –R "union " *.log > log.txt
fgrep –R "../../" *.log > log.txt
fgrep –R "Runtime" *.log > log.txt
fgrep –R "passwd" *.log > log.txt

#檢視是否有shell攻擊
fgrep –R "uname -a" *.log > log.txt
fgrep –R "id" *.log > log.txt
fgrep –R "ifconifg" *.log> log.txt
fgrep –R "ls -l"  *.log > log.txt

十二、安裝chrootkit,檢查是否有rootkit 
rootkit是入侵者經常使用的工具,這類工具可以隱祕、令使用者不易察覺的建立了一條能夠總能夠入侵系統或者說對系統進行實時控制的途徑。

yum install -y glibc-static
mkdir chrootkit
cd chrootkit/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz 
cd chkrootkit-0.52/
make sense       #編譯
./chkrootkit     #檢測命令,若出現INFECTED那就要小心了(./chkrootkit | grep INFECTED)

檢測指令碼,放到定時任務裡面即可

#!/bin/bash
#sript name:chkrootkit.sh

TOOLKITSPATH=/usr/local
[email protected]
file_chkrootkit_log=chkrootkitcron.log
servername=`hostname`
date=`date +%Y-%m-%d`

cd ${TOOLKITSPATH}/chkrootkit
./chkrootkit > ${file_chkrootkit_log}
[ ! -z "$(grep INFECTED ${file_chkrootkit_log})" ] && \
grep INFECTED ${file_chkrootkit_log} | mail -s "[chkrootkit] report in ${servername} ${date}" ${MAILUSER}

備註:登入的時候提示資訊在 /etc/motd 檔案裡面

十三、bash shell 漏洞 
1、測試程式碼,有問題的

[[email protected] ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

2、修復(下面是參考網上的東西,不知道效果怎麼樣)

[[email protected] ~]# yum -y install yum-downloadonly
[[email protected] ~]# yum -y install bash-4.1.2-33.el6_7.1.x86_64.rpm

3、重新測試

[[email protected] ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

#備註
當我們輸入 env x='() { :;}; echo vulnerable';  bash -c "echo this is a test"  又可以出來不一樣的效果

十四、完成後做了如下措施

修改了root賬號密碼
修改了sshd預設埠
修改Nginx使用者nologin
發現系統伺服器存在bash嚴重漏洞、破殼漏洞(Shellshock)並修復

相關推薦

Linux伺服器黑客攻擊安全檢查方法

一、檢查系統密碼檔案,檢視檔案修改日期 # ls -l /etc/passwd   二、檢視 passwd 檔案中有哪些特權使用者 # awk -F: '$3==0 {print $1}' /etc/passwd   三、檢視系統裡有沒有空口令帳戶 #

NASA伺服器黑客攻擊員工資訊曝光

美國國家航空航天局(NASA)已確認其伺服器之一在10月被黑客攻擊,包括社會安全號碼在內的一些員工細節暴露給攻擊者。 在12月18日釋出的通知中,美國國家航空航天局表示,他目前正在通知那些細節可能受到損害的員工。調查已經開始,但NASA表示社會安全號碼和其他個人身份資訊儲存在違反的伺服器上。 “在發現這些

時常黑客攻擊看我如何做好防禦?

添加 可能 exe col net 日誌 sys 文本 table 前言:習慣性每天都看阿裏雲日誌,發現有個IP每天都來嘗試攻擊我服務器,然後就有了下文。 X.X.X.78這個IP地址,每天都來嘗試搞我服務器。當然,咱們也不能慫,對吧? 通過直接訪問IPX.X.X.78得

linux伺服器掛馬ps命令netstat命令挾持替換成其他程式

公司一套hadoop叢集,裝的CDH CM,被掛馬了,動不動就特別卡,流量佔用特別高。當初為了方便,裸在公網上了。而且密碼還簡單,這下是血的教訓了。雖然上面已經同意了全部重灌了,但是本屌有點不甘心,想了解該病毒的老窩在哪。下面會一些資訊,分享給大家。 問題現象,lin

黑客攻擊登入流程要怎麼做才安全

作者:丁儀 來源:https://chengxuzhixin.com/blog/post/deng_lu_liu_cheng_zen_me_zuo_cai_an_quan.html   使用者登入是系統中最重要的功能之一,登入成功就能擁有系統的相關使用許可權。所以設計一個安全的登入流程是十分必要

mysql max_allowed_packet 反復重置原來是服務器黑客攻擊了。

function 測試的 binlog /var/ 用戶 bin alt 團隊 提供服務 最近做個項目,由於團隊人員不在同一個辦公地點,就弄了一臺外網掛靠機做開發和測試環境。 在開發和測試的過長中,mysql 頻繁的報:Caused by: com.mysql.jdbc.P

月下載量千萬的 npm 包黑客篡改Vue 開發者可能正在遭受攻擊

轉載請註明出處:葡萄城官網,葡萄城為開發者提供專業的開發工具、解決方案和服務,賦能開發者。 【年末促銷】葡萄城 2018 歲末福利火熱放送中  原文轉載自 微信公眾號 justjavac 早起看手機,結果發現我的微信群炸了,未讀訊息 999+,大家都在討論 event-

Linux伺服器黑遭敲詐3小時緊急逆襲!

作者介紹 陳浩,北信源研發工程師,五年Linux運維工作經驗,熱衷運維技術研究、實踐和團隊分享。 1.起因 本來在家正常休息了,我們放在上海託管機房的線上伺服器突然崩了遠端不了,服務啟動不了,然後讓上海機房重啟了一次,還是直接掛了,一直到我遠端上才行。 2.現象 遠端伺服器發現出現這類資訊 Hi, 

檢查Linux伺服器受到DDOS攻擊

登入到你的伺服器以root使用者執行下面的命令,使用它你可以檢查你的伺服器是在DDOS攻擊與否: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n 該命令將顯示已登入的是

公司網站跳轉到彩票、博彩網站提示該站點可能受到黑客攻擊部分頁面已非法篡改!

最近一段時間,我們SINE安全公司一連線到數十個公司網站被跳轉到彩票,博彩網站上去,客戶反映從百度搜索網站進去,直接跳轉到彩票網站上,直接輸入網址沒有跳轉,導致客戶網站的流量急劇下滑,做的百度推廣跟搜狗推廣,都給彩票網站做廣告了,公司領導高度重視網站安全的問題,因為給公司的形

記一次linux伺服器攻擊的處理經歷

首先發現IO、流量異常。查詢登入記錄,果不其然last命令沒有結果,/var/log/wtmp檔案被刪除。查詢/var/log/secure檔案中的登入記錄:grep "Accept" /var/log/secure查dstat的日誌檔案,正是10:51分開始出現IO異常。用

解決linux netcore https請求使用自簽名證書忽略安全檢查方法

mva supported support ali figure -s issue 大致 iss 當前系統環境:centos7 x64. dotnet 2.0. 不管是 ServicePointManager.ServerCertificateValidationCallb

用WiFi時如何避免黑客攻擊

ddos 大金ddos互聯網時代,什麽最重要?是WiFi,還是寬帶?都不對,交電費最重要。開個玩笑。確實,日常生活中大家已經離不開WiFi了吧?WiFi的好處無需贅言,但是相應的,它的危險性也值得我們商榷。那麽,該如何保證自己的安全呢?1.免費WiFi慎用 ddos網頁端 ddos ddos攻擊 www

LINUX伺服器配置NFS服務掛載外部儲存實現目錄共享

安裝nfs  rpcbind         一、服務端配置          安裝 NFS 伺服器所需的軟體包:nfs 和&nbs

linux伺服器部署javaweb環境並部署專案到tomcat(詳細教程二)

      上一篇,我們已經將mysql資料庫、jdk、tomcat等部署完畢。(什麼?沒有安裝?請移步上一篇:linux伺服器部署javaweb環境,並部署專案到tomcat(詳細教程一),慢走,不送 ╮( ̄▽ ̄)╭)閒話不多說,開始部署我們的web專案。 五、部署web專案  

linux伺服器部署javaweb環境並部署專案到tomcat(詳細教程一)

      寫完一些東西,想放到伺服器上測試一下。而liunx伺服器也是第一次接觸,去網上百度了一些部署教程,可能是我知識儲備過於簡陋,嘗試了諸多次才將資料庫、jdk、tomcat部署完成。(本人一名java小白,嘗試著寫的第一篇部落格,如有不妥之處,歡迎諸位指正。) 一、安裝mysql

碼農:忘記按時續費線上伺服器停了早提醒過領導還賴我?

做為一名技術人員,根據個人的工作經驗,我覺得對工作中的事情進行劃分歸類,弄清個輕重緩急是非常有必要的,比如對手頭的事情進行劃分,哪些是重要的事情,哪些是緊急的事情,哪些是重要的而不緊急的,總之緊急的事情肯定是要放在首位,緊急也就是說今天不做明天就造成不可挽回的損失,遇見這樣的事情,肯定需要放下手頭的

linux 伺服器植入ddgs、qW3xT.2挖礦病毒處理記錄

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.s

裝修新 Linux 伺服器(資料遷移環境配置和埠開放)

Linux 如何變成一個伺服器?如何轉移服務到新的伺服器?且看本篇清單 ☸ 資料遷移 檔案遷移 如果 需要舊伺服器上的一些檔案,就需要進行資料遷移 # 本機 -> 遠端 scp /root [e

Linux伺服器挖礦程式sustse和kworkerds感染後續處理

在上一篇博文Linux系統發現佔用CPU達100%的程序並處理 裡面以為已經把挖礦程式sustse處理乾淨了,可是沒過兩天又收到阿里雲簡訊提醒,說伺服器有問題,難道還有後門嗎?也多虧阿里雲給出提示“出現了可疑安全事件:Linux共享庫檔案預載入配置檔案可疑篡改”。網上查了查相關內容,原來這個