对于在线运行的业务系统,安全是一个至关重要的问题。非法访问服务器最常见的表现形式有:从内部向外部发送大量数据包(DDOS)、服务器资源耗尽(挖矿)、端口连接异常(反向shell)、服务器日志被恶意删除等。排除Linux系统管理员操作不当,如何检测自己的系统是否被非法进入?简单分享几个实用小技巧给大家~1.查看系统日志1.1查看系统登录日志,统计IP登录尝试次数。对于恶意登录的系统行为,日志中会有蛛丝马迹。通过查看系统登录日志,统计重试登录次数,可以看出哪些IP、哪些用户在恶意登录系统。#lastbroot|awk'{print$3}'|sort|uniq-c|sort-nr|more说明:lastb命令,需要root权限,可以显示所有登录信息,也可以显示指定用户的信息,相关用户直接关注。2、查看系统用户对于非法进入行为,往往可以通过查看系统用户来发现一些蛛丝马迹,比如是否有异常的新用户、提权用户等。通过系统用户的检查,是检测的一个重要方面。2.1查看系统用户是否有异常cat/etc/passwd2.2查看是否有新用户,特别是UID和GID为0的用户awk-F":"'{if($3==0){print$1}}'/etc/passwd2.3查看是否有空密码账号awk-F:'{if(length($2)==0){print$1}}'/etc/passwd3.查看异常进程system对于非法进入的System,可以通过查看进程来确认有哪些异常的非系统非业务进程在运行,通过查看这些异常进程可以找到恶意程序的来源。3.1使用ps-ef命令查看进程ps-ef特别注意UID为root的进程3.2查看进程打开的端口和文件lsof-ppid3.3查看隐藏进程ps-ef|awk'{print$2}'|sort-n|uniq>1;ls/proc|sort-n|uniq>2;diff-y-W4012解释:lunux的所有进程都记录在/proc中。请注意,这里的信息是最详细的。4.查看系统异常文件对于已经被非法进入的系统,通过查看系统异常文件,可以追踪到非法进入的信息,比如查看SUID文件,一些空白文件等。4.1查看SUID文件#find/-uid0-perm4000-print4.2检查大于10M的文件#find/-size+10000k–print4.3检查空格文件#find/-name“…”–print#find/-name“..”–print#find/-name“.”–print#find/-name””–print4.4检查系统中的核心文件#find/-namecore-execls-l{}()5.检查系统文件的完整性The系统文件的完整性是检测非法访问的一个重要方面,尤其是通过检查一些常用系统命令的md5值,可以判断系统是否被非法访问过,比如ls、ping等常用命令在恶意程序之后被篡改,当我们执行这些系统命令时,实际上是在执行恶意程序。5.1检查linux系统文件的完整性,特别注意以下目录/sbin,/bin,/usr/bin例如:#whereisls#md5sum/usr/bin/ls当然也可以写在脚本形式,用于批量生成系统文件的md5值与正常系统比较,如果md5值与正常系统不同。这意味着您的系统可能已被非法访问。5.2使用工具AIDE检查系统文件的完整性手动检查系统文件的md5效率不是很高。AIDE软件可用于协助检查系统文件的完整性。软件使用方法详见官方文档6、检查网络网络方面,检查网卡是否处于混杂模式,检查系统中的网络监控端口,特别注意一些非-系统和非业务端口。6.1查看网卡模式#iplink|grepPROMISC(正常网卡应该不是promisc混杂模式,可能有sniffer)网卡是混杂模式,所以通过网卡的流量会被监听6.2查看open恶意程序的端口和打开的文件#netstat-ntlup#lsof-i:端口号7.查看系统定时任务系统的定时任务也是非法进入检测的一个重要方面。一些恶意程序通过系统的定时任务来定时定时执行任务。通过查看定时任务,我们可以发现一些被非法访问的重要信息。#crontab–uroot–l#cat/etc/crontab#ls/etc/cron.*注:root和UID均为0schedule8.查看系统服务版本8.1centos6查看系统启动的服务#chkconfig—list8.2centosVersion7主要检测是启动服务。目前在centos7及以上使用systemd来管理相应的服务。Systemd是系统管理守护进程、工具和库的集合,旨在取代SystemV启动过程。Systemd的功能是集中管理和配置类UNIX系统。查看所有可用单元#systemctllist-unit-files9、查看rootkit9.1通过rkhunter查看通过rkhunter输出的信息提示是判断系统是否被rootkit的重要手段,OK以外的提示是重点关注。#rkhunter-c参数说明:-c:查看本地文件系统9.2通过chkrootkit查看#chkrootkit-q9.3通过Tripwire查看具体使用方法请参考官方文档https://www.tripwire。com/,这里就不赘述了。
