日志分析 入侵检测--实战
收到客户服务器被入侵消息,希望我给他做一次入侵排查,刚做完顺手记录一下
入侵排查思路
0x01、日志分析
1、爆破ip统计
grep -i Failed /var/log/secure |awk '{print $(NF-3)}' | sort | uniq -c | sort -rn
这里爆破的Ip地址居然是内网IP,出乎意料,留待后续研究
2、登录成功的IP统计
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
涉及敏感信息有的就不贴图了
3、爆破使用的密码统计
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
4、登录成功的IP 信息(包含日期,用户名,信息)
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
对上述统计的信息进行分析,观察爆破IP是否成功登录,爆破所用的密码是否是服务器密码,以及登录成功的IP是否有陌生IP,弱口令往往是最容易突破的点。
0x02、passwd shadow 文件
1、cat /etc/passwd && cat /etc/shadow
查看是否有新增的,陌生的,高权限账户
2、lsattr /etc/passwd && lsattr /etc/shadow
查看文件权限是否被更改,入侵者大都会修改文件权限阻止你去删除里面的新增账户
若是被更改,可使用 chattr -ai +文件清除“ai”权限,然后再删除新增的恶意用户
0x03、历史命令
1、history
直接运行history 查看运行过的命令,但大多数的入侵者会执行history -c 去清除历史记录,意义并不大,但是谁敢保证没有傻黑客呢,所以这步必不可少。
2、给历史命令加上时间戳
#我们设置了一个环境变量 [roc@roclinux ~]$ export HISTTIMEFORMAT='%F %T '#再来看history [roc@roclinux ~]$ history1 2016-04-06 12:15:59 cat .bash_history2 2016-04-06 12:15:59 echo "" > .bash_history3 2016-04-06 12:15:59 ls4 2016-04-06 12:15:59 man ls5 2016-04-06 12:15:59 date6 2016-04-06 12:15:59 logout7 2016-04-06 12:16:16 history8 2016-04-06 12:18:15 export HISTTIMEFORMAT='%F %T '9 2016-04-06 12:18:20 history
3、系统的障眼法
事情的真相是这样的:history-c 命令删除的只是 Linux 系统内存中的历史命令,当 Shell 退出时,就不会有历史命令追加到文件 .bash_history 中。但当重新登录到 Shell 时,Shell 便会加载文件 .bash_history,该文件中存储着曾经输入的历史命令,因此,系统的历史命令就又出现了。
那么如何真正彻彻底底地删除所有的历史命令呢?我们可以采用以下方法。
[roc@roclinux ~]$ history -c [roc@roclinux ~]$ history -w
history-w 的作用就是用内存中的历史命令覆盖 .bash_histroy 文件的内容,这样,即使 Shell 重新加载也加载不到任何命令了,因为此时 .bash_history 文件中已经空空如也了。
0x04、隐藏进程&&端口连接情况
1、安装atop查看异常进程
安装
centos:yum install -y atop
ubuntu:apt-get install -y atop启动
# 启动atop
/etc/init.d/atop start
systemctl start atop运行
atop -g
观察是否有陌生进程,入侵者会修改进程的名称来迷惑我们,例如这里的java8_8就是一个恶意的。
通过进程的端口号来查找文件的位置
ls -l proc/进程号/exe
2、查看端口连接情况
netstat -ano
红色方框内的内容,又帮我回忆了一手三次握手和四次挥手,哈哈,言归正传,观察除正常服务外是否有不正常连接,通过端口查找进程和文件路径,之前好像看到过影子端口,后续研究下
0x05、开机启动项
查看开机启动项,命令如下,也会修改名称迷惑我们,注意注意,使用find 命令查找路径
>systemctl list-unit-files |grep enable
AssistDaemon.service enabled
atd.service enabled
auditd.service enabled
autovt@.service enabled
cloud-config.service enabled
cloud-final.service enabled
cloud-init-local.service enabled
...
0x06、是否添加免登录密钥
cd /root/.ssh
lsattr
此处也添加了特殊权限,防止被删
0x07、查看定时任务
crontab -l | grep -v ^# | wc -l
定时任务列表以及条数统计,定时任务一般会隐藏起来,不太好找
vim /etc/crontab
通过关键词搜索,最终找到了运行脚本的定时任务
脚本就下次分析了》》》》》》》》》》
日志分析 入侵检测--实战相关推荐
- 日志分析工具Awstats实战之Apache篇-多站点日志分析
前面两篇都在讲述如何去部署nginx下的awstats日志分析工具,现在终于轮到apache.作为老牌的网页服务器,awstats对apache的支持非常完美,所以整个配置过程也是十分简单.因此,在这 ...
- 入侵检测技术概述笔记
1.引言 入侵检测(Intrusion Detection)是指通过对计算机网络或者计算机系统中的行为.安全日志或审计数据或其他网络上可以获得的信息进行操作,以便发现计算机或者网络系统中是否存在违反安 ...
- 入侵检测技术是为保证计算机系统安全,计算机数据库的入侵检测技术
计算机数据库的入侵检测技术作为一种信息技术,是保证数据安全的技术.本文主要以入侵检测技术的相关认识作为切入点,研究和分析入侵检测技术相关模式. [关键词]计算机数据库 层次化 入侵检测 模型入侵检测 ...
- 日志分析ELK平台部署第一节
很多培训机构喜欢把一些简单的开源软件弄一个很大的噱头,比如今天跟大家分享的ELK部署,就是一个简单的开源软件,跟zabbix一样都是开源,只是功能不同,哦对了,他们把zabbix叫企业级项目实战之50 ...
- 攻击入侵检测NIDS分析
时间:2004-06-13 来源:http://www.ccw.com.cn/ 在网络安全发展的今天,IDS即入侵检测系统在网络环境中的使用越来越普遍,当hacker在攻击一个装有IDS的网络服务器时 ...
- \加密与解密应用\使用AIDE做入侵检测\扫描与抓包分析\加密与解密应用
例1:加密与解密应用 案例2:使用AIDE做入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/解密及软件签名等功能,分别完成以下任务: 检查文 ...
- Win2K入侵检测实例分析
你是否曾经有过这样的感觉,你的Web站点安全曾经受到威胁,但你又不能确定?诚然,你可以紧跟补丁的速度,你可以保证所有的ACL(访问控制列表)都进行了正确的设置,但是现在每周都有许多新的攻击出现,还有许 ...
- 研究型论文_基于流量异常分析多维优化的入侵检测方法
文章目录 基于流量异常分析多维优化的入侵检测方法 论文摘要 论文解决的问题 1.基于遗传算法的数据抽样优化算法 2.基于相关分析的特征选择优化算法 3.模型 总结 基于流量异常分析多维优化的入侵检测方 ...
- Expect的安装与应用,及实现自动检测另外一台服务器运行状态并重启,和使用expect脚本远程批量管理服务器与日志分析
学习Expect Expect是什么? Expect是一个免费的编程工具语言,用来实现自动和交互式任务进行通信,而无需人的干预. Expect是不断发展的,随着时间的流逝,其功能越来越强大,已经成为 ...
最新文章
- 【独家】深入浅出话AI:定义和主要研究方法
- 导入导出Android手机文件
- python中的函数及作用域的理解
- 【linux】【tar】tar命令详解之czvf,xzvf
- 添加ASP.NET网站资源文件夹
- php类代码中常看到::的操作符
- ENtEntityFranework 的简单应用(一)
- IntelliJ Idea学习笔记003---【Intellij IDEA】eclipse项目导入
- firefox下光标处插入文本
- java中List分片方法
- python语法(一)——判断字符串是否包含某子字符串
- ASP.NET Core 使用 Hangfire 定时任务
- 笔记之STM32F072CBT6芯片的串口高级功能之反相配置问题(HAL库)
- python安卓吾爱_python编程视频教程v1.0.0下载_Python编程安卓版下载_吾爱游戏网
- shinelon笔记本进bios设置u盘启动_重装系统—BIOS设置 U盘启动
- IT培训分享:11种热门编程语言的主要用途
- 如何在 FlowUs、Notion 等笔记软件中进行时间管理?
- 招行信用卡中心2021暑期实习笔试
- 虚拟计算服务器吗,云计算服务器是虚拟的吗
- WACV 2021 论文大盘点-目标检测篇
热门文章
- 高仿百度传课iOS版,版本号2.4.1.2
- 机器人硬汉 聆听_智能巡检机器人“上刀山下火海”冲锋陷阵成“硬汉”
- 智慧旅游的优势和特点有哪些?
- 赛金得PMO建设的实践——《PMO论文集(2019)》(电子版)
- 将OrCAD Capture CIS的设计文件(.dsn)导入到PADS Logic VX.2.3
- MyBatis动态代理原理
- 快鲸写字楼物业管理软件收费标准如何?
- Python和NLP构建你自己的简历解析器
- iis php 404错误页面,IIS自定义404错误页面
- ace缓存扩展接口_Laravel框架中实现使用阿里云ACE缓存服务