入侵者往往会在入侵成功后留下后门再次访问被入侵的系统,创建系统账户是比较常见的后门方式。在进行入侵排查时,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要重点关注的地方。查询特权用户特权用户(uid为0)>awk-F:'$3==0{print$1}'/etc/passwd查找远程登录账号>awk'/\$1|\$5|\$6/{print$1}'/etc/shadow$1:MD5(长度22个字符)$5:SHA-256(长度43个字符)$6:SHA-512(长度86个字符)检查sudo权限>cat/etc/sudoers|grep-v"^#\|^$"|grep"ALL=(ALL"删除或锁定账户可疑账户可以通过以上步骤找到>usermod-Lroot#禁用账户,账户无法登录,/etc/shadow第二栏为!开头>userdelroot#删除用户user>userdel-rroot#root用户会被删除,/home目录下的根目录也会被删除查看当前登录系统信息>who#查看当前登录用户(tty本地登录pts远程登录)>w#查看系统信息,想知道某个时刻用户的行为>uptime#查看登录了多长时间,有多少用户,加载查看异常端口使用netstat网络连接命令分析可疑端口,IP,PID等信息。>网络统计-tunlp|less抓包分析>tcpdump-c10-q//紧凑模式显示10个数据包使用ps命令检查可疑进程>ps-ef检查系统中资源使用率最高的资源>top发现异常进一步检查>psehocommand-p$PID#查看进程启动的完整命令行>readlink/proc/$PID/cwd#查看进程启动的目录>ls-l/proc/$PID/exe#查看pid对应进程文件路径>strings-f/proc/$PID/environ|cut-f2-d''#查看进程启动时完整的环境变量:>lsof-p$PID#列出进程打开的所有文件检查systemservicelinux系统服务管理,CentOS7使用systemd控制CentOS6之前使用检查配置控制。查看自启动服务//对于systemd服务管理器,可以通过以下方式查看自启动服务>systemctllist-unit-files--type=service|grep"enabled"//chkconfig是CentOS6之前用来控制系统服务的工具,查看服务的自启动状态>chkconfig--list|grep"3:on\|5:on"查看启动项脚本命令,查看启动项中是否有异常的启动服务。>cat/etc/rc.local查看定时任务使用定时任务维护权限,可以被入侵者用作持久化机制。检查定时任务是否异常,重点关注以下目录是否存在恶意脚本。/var/spool/cron/*/etc/crontab/etc/cron.d/*/etc/cron.daily/*/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*原文链接:https://rumenz.com/rumenbiji/...微信公众号:入门
