入侵排查思路
账号安全:<br>1、用户信息文件/etc/passwd <br>2、影子文件密码/etc/shadow who查看当前登录用户(tty本地登陆 pts远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户,负载 <br>入侵排查:<br>1、查询特权用户特权用户(uid 为0 awk -F: '$3==0{print $1}' /etc/passwd<br>2、查询可以远程登录的帐号信息awk '/\$1|\$6/{print $1}' /etc/shadow<br>3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 禁用或删除多余及可疑的帐号 usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
历史命令:保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile <br>历史操作命令的清除:history -c cat .bash_history >> history.txt
端口:使用netstat 网络连接命令,分析可疑端口、IP、PID 查看下pid所对应的进程文件路径,运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)
进程 使用ps命令,分析进程<br>ps aux | grep pid
开机启动项 <br>0关机<br>1单用户模式,可以想象为windows的安全模式,主要用于系统修复<br>2不完全的命令行模式,不含NFS服务<br>3完全的命令行模式,就是标准字符界面<br>4.系统保留<br>5.图形模式<br>6.重启 查看运行级别命令 runlevel系统默认允许级别<br>vi /etc/inittab<br>id=3:initdefault 系统开机后直接进入哪个运行级别 开机启动配置文件<br>/etc/rc.local13;/etc/rc.d/rc[0~6].d
定时任务
服务启动 <br>自启动第一种 chkconfig [--level 运行级别] [独立服务名] [on|off]<br>chkconfig –level 2345 httpd on 开启自启动<br>chkconfig httpd on (默认level是2345)<br>第二种修改/etc/rc.d/rc.local 文件 <br>加入 /etc/init.d/httpd start 第三种使用ntsysv命令管理自启动,可以管理独立服务和xinetd服务。
系统日志 日志默认存放位置:/var/log/<br>查看日志配置情况:more /etc/rsyslog.conf
工具篇 <br>1.Rootkit查杀 <br>chkrootkit工具 wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz <br>rkhunter工具Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz <br>2.病毒查杀 Clamav工具 <br>3.webshell查杀 <br> 河马webshell查杀:http://www.shellpub.com <br> 深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html<br>4.RPM check查杀 、RPM check检查<br>系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了:<br>./rpm -Va > rpm.log
