收到客户服务器被入侵消息,希望我给他做一次入侵排查,刚做完顺手记录一下

入侵排查思路

0x01、日志分析

1、爆破ip统计

grep -i Failed /var/log/secure |awk '{print $(NF-3)}' | sort | uniq -c | sort -rn

这里爆破的Ip地址居然是内网IP,出乎意料,留待后续研究

2、登录成功的IP统计

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

涉及敏感信息有的就不贴图了

3、爆破使用的密码统计

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

4、登录成功的IP 信息(包含日期,用户名,信息)

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

对上述统计的信息进行分析,观察爆破IP是否成功登录,爆破所用的密码是否是服务器密码,以及登录成功的IP是否有陌生IP,弱口令往往是最容易突破的点。

0x02、passwd shadow 文件

1、cat  /etc/passwd  && cat /etc/shadow

查看是否有新增的,陌生的,高权限账户

2、lsattr /etc/passwd  && lsattr /etc/shadow

查看文件权限是否被更改,入侵者大都会修改文件权限阻止你去删除里面的新增账户

若是被更改,可使用  chattr -ai +文件清除“ai”权限,然后再删除新增的恶意用户

0x03、历史命令

1、history

直接运行history 查看运行过的命令,但大多数的入侵者会执行history -c 去清除历史记录,意义并不大,但是谁敢保证没有傻黑客呢,所以这步必不可少。

2、给历史命令加上时间戳

#我们设置了一个环境变量
[roc@roclinux ~]$ export HISTTIMEFORMAT='%F %T '#再来看history
[roc@roclinux ~]$ history1  2016-04-06 12:15:59 cat .bash_history2  2016-04-06 12:15:59 echo "" > .bash_history3  2016-04-06 12:15:59 ls4  2016-04-06 12:15:59 man ls5  2016-04-06 12:15:59 date6  2016-04-06 12:15:59 logout7  2016-04-06 12:16:16 history8  2016-04-06 12:18:15 export HISTTIMEFORMAT='%F %T '9  2016-04-06 12:18:20 history

3、系统的障眼法

事情的真相是这样的:history-c 命令删除的只是 Linux 系统内存中的历史命令,当 Shell 退出时,就不会有历史命令追加到文件 .bash_history 中。但当重新登录到 Shell 时,Shell 便会加载文件 .bash_history,该文件中存储着曾经输入的历史命令,因此,系统的历史命令就又出现了。

那么如何真正彻彻底底地删除所有的历史命令呢?我们可以采用以下方法。

[roc@roclinux ~]$ history -c
[roc@roclinux ~]$ history -w

history-w 的作用就是用内存中的历史命令覆盖 .bash_histroy 文件的内容,这样,即使 Shell 重新加载也加载不到任何命令了,因为此时 .bash_history 文件中已经空空如也了。

0x04、隐藏进程&&端口连接情况

1、安装atop查看异常进程

安装

centos:yum install -y atop
ubuntu:apt-get install -y atop

启动

# 启动atop
/etc/init.d/atop start
systemctl start atop

运行

atop -g

观察是否有陌生进程,入侵者会修改进程的名称来迷惑我们,例如这里的java8_8就是一个恶意的。

通过进程的端口号来查找文件的位置

ls -l proc/进程号/exe

2、查看端口连接情况

netstat -ano

红色方框内的内容,又帮我回忆了一手三次握手和四次挥手,哈哈,言归正传,观察除正常服务外是否有不正常连接,通过端口查找进程和文件路径,之前好像看到过影子端口,后续研究下

0x05、开机启动项

查看开机启动项,命令如下,也会修改名称迷惑我们,注意注意,使用find 命令查找路径

>systemctl list-unit-files |grep enable
AssistDaemon.service                          enabled
atd.service                                   enabled
auditd.service                                enabled
autovt@.service                               enabled
cloud-config.service                          enabled
cloud-final.service                           enabled
cloud-init-local.service                      enabled
...

0x06、是否添加免登录密钥

cd /root/.ssh

lsattr

此处也添加了特殊权限,防止被删

0x07、查看定时任务

crontab -l | grep -v ^# | wc -l

定时任务列表以及条数统计,定时任务一般会隐藏起来,不太好找

vim /etc/crontab

通过关键词搜索,最终找到了运行脚本的定时任务

脚本就下次分析了》》》》》》》》》》

日志分析 入侵检测--实战相关推荐

  1. 日志分析工具Awstats实战之Apache篇-多站点日志分析

    前面两篇都在讲述如何去部署nginx下的awstats日志分析工具,现在终于轮到apache.作为老牌的网页服务器,awstats对apache的支持非常完美,所以整个配置过程也是十分简单.因此,在这 ...

  2. 入侵检测技术概述笔记

    1.引言 入侵检测(Intrusion Detection)是指通过对计算机网络或者计算机系统中的行为.安全日志或审计数据或其他网络上可以获得的信息进行操作,以便发现计算机或者网络系统中是否存在违反安 ...

  3. 入侵检测技术是为保证计算机系统安全,计算机数据库的入侵检测技术

    计算机数据库的入侵检测技术作为一种信息技术,是保证数据安全的技术.本文主要以入侵检测技术的相关认识作为切入点,研究和分析入侵检测技术相关模式. [关键词]计算机数据库 层次化 入侵检测 模型入侵检测 ...

  4. 日志分析ELK平台部署第一节

    很多培训机构喜欢把一些简单的开源软件弄一个很大的噱头,比如今天跟大家分享的ELK部署,就是一个简单的开源软件,跟zabbix一样都是开源,只是功能不同,哦对了,他们把zabbix叫企业级项目实战之50 ...

  5. 攻击入侵检测NIDS分析

    时间:2004-06-13 来源:http://www.ccw.com.cn/ 在网络安全发展的今天,IDS即入侵检测系统在网络环境中的使用越来越普遍,当hacker在攻击一个装有IDS的网络服务器时 ...

  6. \加密与解密应用\使用AIDE做入侵检测\扫描与抓包分析\加密与解密应用

    例1:加密与解密应用 案例2:使用AIDE做入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/解密及软件签名等功能,分别完成以下任务: 检查文 ...

  7. Win2K入侵检测实例分析

    你是否曾经有过这样的感觉,你的Web站点安全曾经受到威胁,但你又不能确定?诚然,你可以紧跟补丁的速度,你可以保证所有的ACL(访问控制列表)都进行了正确的设置,但是现在每周都有许多新的攻击出现,还有许 ...

  8. 研究型论文_基于流量异常分析多维优化的入侵检测方法

    文章目录 基于流量异常分析多维优化的入侵检测方法 论文摘要 论文解决的问题 1.基于遗传算法的数据抽样优化算法 2.基于相关分析的特征选择优化算法 3.模型 总结 基于流量异常分析多维优化的入侵检测方 ...

  9. Expect的安装与应用,及实现自动检测另外一台服务器运行状态并重启,和使用expect脚本远程批量管理服务器与日志分析

    学习Expect Expect是什么? Expect是一个免费的编程工具语言,用来实现自动和交互式任务进行通信,而无需人的干预.  Expect是不断发展的,随着时间的流逝,其功能越来越强大,已经成为 ...

最新文章

  1. 【独家】深入浅出话AI:定义和主要研究方法
  2. 导入导出Android手机文件
  3. python中的函数及作用域的理解
  4. 【linux】【tar】tar命令详解之czvf,xzvf
  5. 添加ASP.NET网站资源文件夹
  6. php类代码中常看到::的操作符
  7. ENtEntityFranework 的简单应用(一)
  8. IntelliJ Idea学习笔记003---【Intellij IDEA】eclipse项目导入
  9. firefox下光标处插入文本
  10. java中List分片方法
  11. python语法(一)——判断字符串是否包含某子字符串
  12. ASP.NET Core 使用 Hangfire 定时任务
  13. 笔记之STM32F072CBT6芯片的串口高级功能之反相配置问题(HAL库)
  14. python安卓吾爱_python编程视频教程v1.0.0下载_Python编程安卓版下载_吾爱游戏网
  15. shinelon笔记本进bios设置u盘启动_重装系统—BIOS设置 U盘启动
  16. IT培训分享:11种热门编程语言的主要用途
  17. 如何在 FlowUs、Notion 等笔记软件中进行时间管理?
  18. 招行信用卡中心2021暑期实习笔试
  19. 虚拟计算服务器吗,云计算服务器是虚拟的吗
  20. WACV 2021 论文大盘点-目标检测篇

热门文章

  1. 高仿百度传课iOS版,版本号2.4.1.2
  2. 机器人硬汉 聆听_智能巡检机器人“上刀山下火海”冲锋陷阵成“硬汉”
  3. 智慧旅游的优势和特点有哪些?
  4. 赛金得PMO建设的实践——《PMO论文集(2019)》(电子版)
  5. 将OrCAD Capture CIS的设计文件(.dsn)导入到PADS Logic VX.2.3
  6. MyBatis动态代理原理
  7. 快鲸写字楼物业管理软件收费标准如何?
  8. Python和NLP构建你自己的简历解析器
  9. iis php 404错误页面,IIS自定义404错误页面
  10. ace缓存扩展接口_Laravel框架中实现使用阿里云ACE缓存服务