Linux定期监视某文件变化,监控Linux文件变化,防止服务器被黑
运维服务器比较头疼的一个问题是系统被黑,沦为肉鸡或者矿机。除了加强安全基线配置,加强网络和端口加固,系统和应用bug修复,上IDS/IPS(入侵检测/防御系统)之外,另一个方面就是系统监控,一个完善准确的安全监控可以在主机层面及时发现入侵活动、予以告警以备及时处理。本文虫虫就给大家来说说系统文件变化的监控。
概述
在*nix体系一切皆文件,系统文件的变化往往反应着系统的变化,比如系统应用的更新、系统的操作活动(可以用安全审计来确定)或系统被黑。根据虫虫多年来维护经验系统被黑最明显之一的特征就是系统文件变化,包括不限于:
/bin (替换基本工具为恶意木马等,比如netstat,ps等)
/sbin (替换基本工具为恶意木马等,比如sshd,lsof,ss等)
/usr/bin(替换基本工具为恶意木马等,比如sshd,lsof,ss等)
/usr/sbin (替换基本工具为恶意木马等,比如sshd,lsof,ss等)
/etc/init.d (修改开机启动任务,添加恶意脚本开机启动)
/etc/
/etc/cront.d (修改计划任务,添加恶意脚本定时执行)
/etc/crontab (修改计划任务,添加恶意脚本定时执行)
~/.ssh/目录 (注入公钥)
/etc/sysconfig (修改iptables配置等,开放网络限制)
/etc/ssh/ (修改ssh配置)
web目录 (修改网站)
等目录下文件被替换或者添加非法文件。
加强对这些目录和文件的监控,就可以在一定程度上防止系统被黑,以及系统被黑,而无法发现的问题。
find –mtime目录文件变化
监控系统变化的最简单,最常用的方法是使用find命令,其-mtime表示最近有过变动的文件。
比如要查看一天内/usr/bin目录下变化过的文件可以使用
find /usr/bin -m -1
要看详细这些文件详细信息,可以用xargs或者-exec把这些变化文件在用ls -al显示出来,比如:
find /var -type f -mtime -1 -exec ls -al {} \;
RPM监控系统文件的变化
RPM是Linux一种应用包,利用RPM安装应用大家可能都熟悉。实际上RPM还是一个系统包数据库,并提供包验证功能,可以用来发现原始安装包变化情况。RPM应用包文件验证的基本命令是rpm -V。比如查询验证nginx包可以用rpm -V nginx:
该命令结果的前几位属性验证,.表示属性正常,其他标志表示属性有变化,如果文件被删除,则会提示"missing …"。具体属性的含义如下:
结果表示: nginx包中default.conf文件的大小,md5哈希值,文件修改时间都改变了。
注意:上图中中间位还有个字母c标志,该标表示文件的属性,c表示文件为配置文件。其他标志有: d %doc 说明文档;g %ghost 不应包含的文档,有可能有问题;l %license 授权文件;r %readme readme说明文件。
-V选项增加-a就可以列出当前系统中安装后,所有变化过的包文件,可以以此来检查文件包的完整性,安全性等。我们对结果使用grep进一步检查就得到具体的文件,比如要获取bin目录系统文件变化过的文件:
Inotify监控文件变化
另一个比较常用的方法是用Inotify来监控文件变化。Inotify是Linux内核自带(2.6.13)的系统事件监控机制。Inotify优点之一是基于内核事件通知机制,无需定时主动探测文件状态,简单可靠。另一个好处是有文件变化时通知时候,可以记录当时的用户和事件进程。基于Inotify的工具有inotify-tools、sersync和lsyncd等,我们此处简单介绍inotify-tools使用。
inotify-tools安装
安装比较简单,以centos为例,先添加epel源,然后
yum install inotify-tools
inotify-tools使用
inotify-tools安装后会附带两个工具即inotifywait和inotifywatch。inotifywait工具用来添加文件或目录监控,支持对文件的一些操作事件,比如open、close、delete等,运行后系统处于阻塞状态。inotifywait的参数和对应事件列表如下图所示:
做为安全方面考虑,重点关注文件文件变化和创建时间,即modify和create事件。
inotifywatch工具用来查看所监视的文件发生事件的数据统计。
下面举一个实例来说明,我们用inotifywait来监控/var目录下文件的变化:
inotifywait -mre modify /var
为了便于阅读,我们添加一些日志和时间格式参数:
inotifywait -mrq --timefmt '%d%m%y %H:%M' --format '%T %w%f' -e modify -e create /var
要统计系统内30秒内的变化数据,可以用inotifywatch:
inotifywatch -v -t 30 -r /proc
inotifywatch 的使用此处不在详细介绍。
自建编写脚本进行文件Md5监控
还有一个方法就是对特定目录(比如Web目录)开始时候对其计算md5 哈希,以后定时计算md5然后比对,发现md5 哈希不一致了,说明文件已经被篡改了。对此,虫虫之前基于这个原理用Perl写了一个脚本MD5Check(github: /bollwarm/MD5Check),可以直接用来使用或者做参考。
MD5Check安装很简单,有Perl的环境下(依赖Digest::MD5)直接下直接clone文件就可以使用,或者使用cpanm安装
cpanm MD5Check
使用:
使用方法,执行 perl bin/init.pl web目录(自定义),初始化MD5值。
然后使用perl bin/check.pl前一部保存的md5哈希的文件检查。
详细实例,见bin目录下的 init.pl 和 check.pl
cpanm安装后,可以直接用perl单行程序检查使用
初始化:
perl -MMD5Check -e 'init("/web")' >file
检查:
perl -MMD5Check -e 'print md5check(file)'
实例:我们举一个wordexpree网站为例子:
perl init.pl /web >webmd5.20161027
检查:
perl check.pl webmd5.20161027
总结
本文我们讲述了通过监控linux文件变化方式防止系统被黑。讲述了常见的几种监控linux系统下文件监控的方法:find、rpm,Inodify以及自编写脚本的方法。当然这些方法需要配合监控系统(比如zabbix)才能实现及时全面的系统,可以将其做为系统安全监控部分(其他部分包括进程监控、防火墙变化监控、流量变化)来配置和告警。关于这些部分,以后有机会再给大家介绍。
举报/反馈
Linux定期监视某文件变化,监控Linux文件变化,防止服务器被黑相关推荐
- linux 文件读取 监控,linux 文件系统的监控
完整性检查是HIDS的重要组成部分之一,linux下做完整性检查的思路有3个 1.哈希对比 2.签名校验 3.inotify 方法有2个: A.定期检测,例如通过cron或程序内置计时器 B.实时检测 ...
- 监控linux资源的软件,6个监控linux系统资源的快速工具
系统管理员需要对服务器进行监控以确保其正常运行,通过这种方式管理员能够提前发现可能存在的问题并恢复系统,以避免麻烦的出现. Linux上有很多命令来监控不同的系统资源,如CPU使用率.内存使用情况.网 ...
- linux监测node进程,通过node_exporter监控linux服务器一
前言: node_exporter用于监控*nux系统,使用go编写的收集器 prometheus服务器:192.168.199.222 监控服务器 192.168.199.221 在192.168. ...
- linux atop日志查看,A - atop - 监控Linux系统资源与进程的工具 - 《Linux命令大全搜索工具(旧版)》 - 书栈网 · BookStack...
atop 监控Linux系统资源与进程的工具 补充说明 [非内部程序,需要安装]它以一定的频率记录系统的运行状态,所采集的数据包含系统资源(CPU.内存.磁盘和网络)使用情况和进程运行情况,并能以日志 ...
- Linux服务器间文件夹监控同步文件脚本
使用场景 现有服务器A和服务器B,如果服务器A的指定目录(例如 /home/paul/rsync/ )中的内容发生变更(增删改和属性变更),实时将这些变更同步到服务器B的目标目录中(例如 /home/ ...
- Linux 定期删除3天以前的日志文件
删除3天以前的日志文件 (定时任务) 30 02 * find /file.log -mtime +3 |xargs rm -rf {} \; 转载于:https://blog.51cto.com/c ...
- linux 非法信息,用Netstat来监控Linux里非法服务
作为一名Linux管理员,安全防御工作的第一步就是知道在系统中有哪些服务在运行.管理员的重要责任应包括:检查服务是否被授权,并应该鉴别那些虽非正在使用的但却是活动的服务. 存在于各种版本Linux中的 ...
- linux硬盘温度,使用psensor实时监控Linux系统温度的方法
我有一台普通pc机,系统centos7,开机半年了,使用软件检测温度.对centos不是很完美,只能健康到硬盘,cpu温度. ubuntu就能完美支持. 安装这个软件没有什么难度,这里只做一下笔记方 ...
- delphi 监控文件变化_监控Linux文件变化,防止系统被黑
运维服务器比较头疼的一个问题是系统被黑,沦为肉鸡或者矿机.除了加强安全基线配置,加强网络和端口加固,系统和应用bug修复,上IDS/IPS(入侵检测/防御系统)之外,另一个方面就是系统监控,一个完善准 ...
最新文章
- Gartner魔力象限IBM被评为固态阵列市场领导厂商
- 如何捕获window.print点击打印或取消_视频:手把手教您如何优化喷墨波形
- python实现进度条的3种方式
- -moz火狐 (firefox)CSS
- Spark :AnalysisException: Required attribute 'value' not found;
- Git基础之(十五)——分支管理——分支管理策略
- 电脑自带的cmd/Powershell连接远程服务器(实用技巧)
- 大主宰PHP文章,大主宰:沈苍生让李玄通放弃洛璃?牧尘受到眷顾!北溟再出手相助...
- matlab第三章笔记
- 常用数据结构与经典算法 简单讲解与示例代码
- 基于python的更换照片底色工具开发
- linux git 三 版本查看、版本退回、
- 【C++】-命名空间的概念及使用
- excel 置信区间 计算_如何用excel计算 95%的置信区间
- 【2021】网络协议从入门到底层原理-MJ【新】附上下载链接
- 带你渐入佳境,一文捋清协程
- 计算机技术在测绘专业应用,浅谈计算机技术在测绘工程制图中的应用(原稿)
- 我的4g网卡运行着GNU/Linux -- 某4g无线网卡的逆向工程与主线Linux移植 (二)
- 可能改变世界的七个想法
- html页面中加入评论功能,JavaScript实现简单评论功能
热门文章
- LeetCode-链表-24. 两两交换链表中的节点
- 数学建模学习笔记——图论最短路径
- 神经网络反向传播的数学原理
- 看一眼凌晨四点的哈佛,就会明白中国缺什么
- Visual Studio 2013开发 mini-filter driver step by step (4) - 获取文件名
- jvm性能调优实战 - 38System.gcy引发的惨案
- 深入理解分布式技术 - Kafka 高性能原理剖析
- Spring Cloud【Finchley】实战-07异步下单
- Oracle-PFILE和SPFILE解读
- php 限制登陆设备,登陆界面限制到只允许一台机器在线-PHP教程,PHP应用