Linux 攻击防护基础排查
作者:Zzang
来源:cnblogs
原文:https://www.cnblogs.com/Zzang/p/LinuxHack.html
版权声明:本文为博主原创文章,转载请附上博文链接!
基本网络拓扑图
1. 准备阶段。配置云主机,模拟简单的ssh登录爆破入侵行为
- 步骤一:登录阿里云管理控制台。打开云主机。
- 步骤二:打开VMware,将kali虚拟机的网卡模式设置为NAT,打开kali。打开终端,测试ping云主机,需成功ping通,如下图所示
- 步骤三:通过SSH访问云主机,通过root账户登录云主机,前两次输入错误的密码,第三次输入正确的密码,并成功访问,如下图所示
- 步骤四:创建新用户hack,如下图所示
- 步骤五:为新用户设置密码“123456”,如下图所示
- 步骤六:再次打开一个终端,使用hack用户连接云主机,并输入错误的密码,如下图所示
自行配置hack账户的其他重要权限,或添加其他的账户,如空密码账户等等。并尝试远程登录使用。
2. Linux云主机ECS应急响应排查
1)账号安全
- 步骤一:查看账号,尝试找出异常账号,并分析账号的权限,并记录在实操报告中,如下图所示
- 步骤二:查看影子文件,并分析账号密码的设置情况,并记录在实操报告中,如下图所示
- 步骤三:使用下列命令,进一步分析账号信息,并记录在实操报告中,
- who 查看当前登录用户(tty本地登陆 pts远程登录)
- w 查看系统信息,想知道某一时刻用户的行为
- uptime 查看登陆多久、多少用户,负载who 查看当前登录用户(tty本地登陆 pts远程登录)
- w 查看系统信息,想知道某一时刻用户的行为
- uptime 查看登陆多久、多少用户,负载
2)入侵排查:
- 步骤一:查询特权用户(特权用户,uid为0)
[root@hostserver ~]#awk -F: '$3==0{print $1}' /etc/passwd
- 步骤二:查询可以远程登录的帐号信息
[root@hostserver ~]#awk '/\$1|\$6/{print $1}' /etc/shadow
- 步骤三:除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
[root@localhost ~]#more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
- 步骤四:禁用或删除多余及可疑的帐号
- useradd user 创建帐号
- usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
- userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
3)历史命令查询
- 步骤一: 输入命令 history,查看
步骤二:查找文件 .bash_history所在目录,进入用户目录下,
输入命令:cat .bash_history >> history.txt, 查看文件history.txt.
或:tailf -200 /home/[指定username]/.bash_history4)查看端口信息
步骤一:使用命令netstat –antlp | more ,如下图所示
5)查看进程信息和cpu等利用信息
- 步骤一:使用ps命令,并查看参考文献,使用ps命令的常用查看命令组合,并将结果记录在实操报告中。
- 步骤二:使用top命令,并查看参考文献,使用top命令的常用查看命令组合,并将结果记录在实操报告中。
6)查看开机启动项、定时任务、服务
- 步骤:查看参考文献,完成上述排查,并将结果记录在实操报告中。
7)查看系统日志
- 步骤一:
- 日志默认存放位置:/var/log/
- 查看日志配置情况:more /etc/rsyslog.conf
- 步骤二:定位有多少IP在爆破主机的root帐号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
- 步骤三:定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
- 步骤四:爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
- 步骤五:2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
- 登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
- 步骤六:查看增加用户的日志信息
grep "useradd" /var/log/secure
3. 使用工具协助排查入侵
- 步骤一:安装Rootkit查杀工具。
./chkrootkit使用方法:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52 (先查看安装的目录)
make sense
#编译完成没有报错的话执行检查
./chkrootkit
4,病毒查杀
- 使用工具Clamav
ClamAV的官方下载地址为:http://www.clamav.net/download.html
作者:Zzang
来源:cnblogs
原文:https://www.cnblogs.com/Zzang/p/LinuxHack.html
版权声明:本文为博主原创文章,转载请附上博文链接!
转载于:https://www.cnblogs.com/Zzang/p/LinuxHack.html
Linux 攻击防护基础排查相关推荐
- 蓝易云:Linux系统【Centos7】如何配置完整的CC攻击防护策略
完整的CC攻击防护策略包括以下步骤: 1. 调整内核参数 在CentOS 7系统中,可以通过修改内核参数来增加系统对CC攻击的抵抗力.具体操作如下: (1)打开sysctl.conf文件: ``` v ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- Linux入侵类问题排查思路
深入分析,查找入侵原因 一.检查隐藏帐户及弱口令 检查服务器系统及应用帐户是否存在 弱口令: 检查说明:检查管理员帐户.数据库帐户.MySQL 帐户.tomcat 帐户.网站后台管理员帐户等密码设置是 ...
- 【CentOS Linux 7】【Linux网络配置基础】
Linux系统及应用---调研报告 [CentOS Linux 7]实验1[VMware安装.新建虚拟机:63个基础命令运行结果图] [CentOS Linux 7]实验2[Shell编程及应用] [ ...
- 腾讯云DDoS攻击防护指南
1. 什么是DDoS攻击? • DDoS是目前成本较低的一种攻击方式之一.攻击者通过控制大量肉鸡(被黑客入侵控制的终端)同时向目标站点发起访问,目标站点被大量涌入的访问会话占满性能,而无法接收实际正常 ...
- 网站DDOS攻击防护实战老男孩经验心得分享 【转】
文章出处:网站DDOS攻击防护实战老男孩经验心得分享 网站DDOS攻击防护实战老男孩经验心得分享 老男孩由于要培训学生.批改作业,因此最近比较忙,还要经常写书.录视频,搞的思路混乱,受朋友邀请参 ...
- 被骗几十万总结出来的Ddos攻击防护经验!(转载)
被骗几十万总结出来的Ddos攻击防护经验! 技术 站内编辑 2015-09-18 17:37 评论 0 阅读 115159 来源: 爱尖刀 本人从事网络安全行业20年.有15年防ddos攻击防护经验. ...
- 阿里云centos环境之被dos,syn攻击策略和排查方法,持续更新九
阿里云centos环境之被dos,syn攻击策略和排查方法,持续更新<九> 阿里云centos环境之被dossyn攻击策略和排查方法持续更新九 查看cpu使用情况 查看网络连接情况 检查端 ...
- linux网络服务详解,Linux网络服务器配置基础详解 (3)
Linux网络服务器配置基础详解 (3) Linux网络服务器配置基础详解 (3) 第三步:编辑"inetd.conf"文件(vi /etc/inetd.conf),禁止所有不需要 ...
最新文章
- 数据中心网络架构 — CLOS 网络架构的起源于发展
- 用python做一个简单的投票程序_以一个投票程序的实例来讲解Python的Django框架使...
- 全民加速节:解读CDN的应用场景与产品价值
- matlab暂态信号,MATLAB6在电力暂态波形仿真实现中的应用
- NSDictionary / NSMutableDictionary 及 NSArray / NSmutableArray (实例)
- 使用【Linux操作系统】必须掌握的基本命令
- 管理中的计算机应用真题,0051管理系统中计算机应用试题历年真题
- malformed utf-8 characters, possibly incorrectly encoded
- javaMail学习(三)——使用javaMail给易邮邮账户发简单邮件
- PS为美女换服装颜色及换头发颜色
- 20个最好的免费流程图软件| 流程图制作工具
- 好消息!!超任模拟器被我移植到MOTO E680i上了!!
- 数据安全需要做什么?
- 关于Java中的引用的用法
- Xampp介绍、安装过程及使用方法
- 微分,泰勒公式及其在图像处理中的应用
- 人工智能:极大极小算法
- 我与程序员不得不说的二三事——一天一天
- DNW PL2303驱动解决问题
- 类脑科学实验(三)——Hebb学习
热门文章
- spring cloud搭建_Spring Cloud Eureka 注册中心集群搭建,Greenwich 最新版!
- cmd 取消点击锁定功能
- python与c 交互原理_PYTHON 与C相互交互调用实例解析
- Python-Matplotlib可视化(6)——自定义坐标轴让统计图清晰易懂
- 创建队列 c语言_在C中创建队列
- Java SE 9:Stream API的改进
- java 8 谓词_Java谓词– Java 8谓词
- Android AdapterViewFlipper
- Hibernate Session合并,更新,保存,saveOrUpdate,持久化示例
- DotNetTextBox V3.0 所见即所得编辑器控件Ver3.2.5 Free(免费版)