Linux主機(jī)安全排查

文章源自【字節(jié)脈搏社區(qū)】-字節(jié)脈搏實(shí)驗(yàn)室

作者-kongfree

掃描下方二維碼進(jìn)入社區(qū)：

一. 進(jìn)程

執(zhí)行ps -aux或者ps -ef查看是否存在異常進(jìn)程。

技巧：

使用 grep對(duì)進(jìn)程進(jìn)行塞選

示例：ps –ef |grep syslog

 二. 網(wǎng)絡(luò)連接

（1）可查看是否存在外部連接等  netstat -anptu

（2）執(zhí)行w命令可以確定當(dāng)前哪些用戶已登錄系統(tǒng)。

（3）使用lsof –i（僅限Linux）顯示進(jìn)程和端口對(duì)應(yīng)關(guān)系          

三. CPU等使用檢測(cè)

使用top命令查看，可按大寫P讓其按cpu大小排序 。ps -elf 可疑$PID 、ps -aux命令檢查排名靠前的或者不斷變化的程序。同時(shí)使用 $ kill -s 9 pid 結(jié)束進(jìn)程。

四. 登錄情況

 使用last命令

    第一列信息：用戶名，或者顯示reboot（啟動(dòng)或者重啟操作在這里會(huì)記錄成reboot）

    第二列信息：終端位置，pts/0 (偽終端或虛擬終端) 意味著從諸如SSH或telnet的遠(yuǎn)程連接的用戶。

        tty (teletypewriter) 意味著直接連接到計(jì)算機(jī)或者本地連接的用戶,如果是啟動(dòng)或者重啟操作，這里會(huì)顯示成system boot

    第三列信息：登錄ip或者內(nèi)核，如果你看見(jiàn):0.0 或者什么都沒(méi)有，這意味著用戶通過(guò)本地終端連接。

       也有在狀態(tài)中顯示內(nèi)核版本的信息，筆者猜測(cè)這些記錄應(yīng)該是屬于系統(tǒng)的操作，如開機(jī)，關(guān)機(jī)，重啟等操作

    第四列信息：開始時(shí)間,其中的日期格式為date +"%a %b %d"

    第五列信息：結(jié)束時(shí)間（still login in 還未退出 down 直到正常關(guān)機(jī) crash 直到強(qiáng)制關(guān)機(jī)）

    第六列信息：持續(xù)時(shí)間

五.動(dòng)態(tài)鏈接與端口開放

動(dòng)態(tài)鏈接 $echo $LD_PRELOAD

使用netstat –anp 命令查看當(dāng)前開放的端口。

 六. 用戶及用戶文件

1.查看是否有異常的系統(tǒng)用戶。

解釋/etc/passwd中7段意義：（用戶名：密碼：UID:GID：注釋：家目錄：默認(rèn)SHELL）

              1）.account: 登錄名

              2）.password: 密碼

              3）.UID：

              4）.GID：基本組ID

              5）.comment: 注釋

              6）.HOME DIR：家目錄

              7）.SHELL：用戶的默認(rèn)shell

檢查除root用戶外是否存在其他用戶的UID為0，也可執(zhí)行命令：

awk -F : '$3==0{print}' /etc/passwd

2./etc/passwd默認(rèn)權(quán)限為644，其最小權(quán)限為444，首先應(yīng)對(duì)該文件權(quán)限進(jìn)行檢查，以確認(rèn)配置是否正確

3. shadow文件

shadow默認(rèn)權(quán)限為600，最小權(quán)限為400，檢查權(quán)限配置是否正確：

ls – l /etc/shadow

七.計(jì)劃任務(wù)（cron）

ls -latr /etc/cron.d/

ls -latr /etc/cron.daily/

ls -latr /etc/cron.hourly/

ls -latr /etc/cron.weekly/

ls -latr /etc/cron.monthly/

ls -latr /etc/crontab

八. 日志文件

 less /var/log/messages

作用：紀(jì)錄幾乎系統(tǒng)發(fā)生的錯(cuò)誤訊息

關(guān)注信息：記錄運(yùn)行信息和認(rèn)證信息，對(duì)于追查惡意用戶的登錄行為有很大幫助

less /var/log/secure

作用：記錄登入系統(tǒng)存取數(shù)據(jù)，例如pop3, ssh, telnet, ftp 等都會(huì)記錄在此日志中

關(guān)注信息：記錄添加用戶，更改密碼等。ssh登錄日志會(huì)存儲(chǔ)于/var/log/secure中，若日志中出現(xiàn)連續(xù)大量的登錄錯(cuò)誤信息，則可能意味著遠(yuǎn)程主機(jī)在嘗試破解ssh登錄口令。

/var/log/wtmp 用last打開

作用：記錄登錄信息

信息：查看最近的用戶登錄情況。

less /var/log/cron

作用：記錄 crontab （計(jì)劃任務(wù)）服務(wù)的內(nèi)容

信息：查看是否有攻擊者設(shè)置的計(jì)劃任務(wù)或惡意腳本的計(jì)劃任務(wù)

?通知！

公眾號(hào)招募文章投稿小伙伴啦！只要你有技術(shù)有想法要分享給更多的朋友，就可以參與到我們的投稿計(jì)劃當(dāng)中哦~感興趣的朋友公眾號(hào)首頁(yè)菜單欄點(diǎn)擊【商務(wù)合作-我要投稿】即可。期待大家的參與~

記得掃碼

關(guān)注我們