账号排查：

1、系统用户信息文件/etc/passwd

root:x:0:0:root:/root:/bin/bash

account:password:UID:GID:GECOS:directory:shell

用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell

无密码只允许本机登陆，远程不允许登陆

2、影子文件/etc/shadow

root:$6$JHKdasd78fdsawfH$JKsa8HKdsa7hjq21.jshfHJZK983sjdf.shdaUJHIU

9askjKHD/:16809:0:66666:7:::

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之

后的宽限天数：账号失效时间：保留

who 查看当前登录用户（tty本地登陆 pts远程登录）

w 查看系统信息，想知道某一时刻用户的行为

uptime 查看登陆多久、多少用户，负载

入侵排查：

1、查询特权用户特权用户(uid 为0)

[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限

[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号

usermod -L user 禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头

userdel user 删除user用户

userdel -r user 将删除user用户，并且将/home目录下的user目录一并删除

history命令：

通过.bash_history查看帐号执行过的系统命令

1、root的历史命令

histroy

2、打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令

为历史的命令增加登录的IP地址、执行命令时间等信息：

1）保存1万条命令

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

2）在/etc/profile的文件尾部添加如下行数配置信息：

######history#########

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "

shopt -s histappend

export PROMPT_COMMAND="history -a"

#########history ##########

3）source /etc/profile让配置生效

生成效果： 1 2019-07-06 19:50:01 192.168.xxx.xxx root source /etc/profile

3、历史操作命令的清除：history -c

但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。

入侵排查：

进入用户目录下

cat .bash_history >> history.txt

三、端口

使用netstat 网络连接命令，分析可疑端口、IP、PID

netstat -antlp|more

查看下pid所对应的进程文件路径，

运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

四、进程

使用ps命令，分析进程

ps aux | grep pid

五、开机启动项

基本使用：

系统运行级:

查看运行级别命令 runlevel

系统默认允许级别

vi /etc/inittab

id=3：initdefault 系统开机后直接进入哪个运行级别

开机启动配置文件：

/etc/rc.local

/etc/rc.d/rc[0~6].d

例子:当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc*.d中建立软

链接即可

root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此处sshd是具体服务的脚本文件，S100ssh是其软链接，S开头代表加载时自启动；如果是K开头的脚本文件，代表

运行级别加载时需要关闭的。

入侵排查：

启动项文件： more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

六、定时任务

基本使用

1、利用crontab创建计划任务

基本命令

crontab -l 列出某个用户cron服务的详细内容

Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root

crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

如：*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

2、利用anacron实现异步定时任务调度

使用案例

每天运行 /home/backup.sh脚本： vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh

当机器在 backup.sh 期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待 7天。

入侵排查

重点关注以下目录中是否存在恶意脚本

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

小技巧：

more /etc/cron.daily/* 查看目录下所有文件

七、服务

服务自启动

第一种修改方法：

chkconfig [--level 运行级别] [独立服务名] [on|off]

chkconfig –level 2345 httpd on 开启自启动

chkconfig httpd on （默认level是2345）

第二种修改方法：

修改/etc/re.d/rc.local 文件

加入 /etc/init.d/httpd start

第三种修改方法：

使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务。

入侵排查

1、查询已安装的服务：

RPM包安装的服务

chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务

ps aux | grep crond 查看当前服务

系统在3与5级别下的启动项

中文环境

chkconfig --list | grep "3:启用\|5:启用"

英文环境

chkconfig --list | grep "3:on\|5:on"

源码安装服务：

查看服务安装位置 ，一般是在/user/local/

service httpd start

搜索/etc/rc.d/init.d/ 查看是否存在

八、系统日志

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

日志分析技巧：

chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务

ps aux | grep crond 查看当前服务

系统在3与5级别下的启动项

中文环境

chkconfig --list | grep "3:启用\|5:启用"

英文环境

chkconfig --list | grep "3:on\|5:on"

查看服务安装位置 ，一般是在/user/local/

service httpd start

搜索/etc/rc.d/init.d/ 查看是否存在

1、定位有多少IP在爆破主机的root帐号：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -

nr | more

定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.

(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-

4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么？

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print

"$1\n";}'|uniq -c|sort -nr

2、登录成功的IP有哪些：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3、增加一个用户kali日志：

localhost useradd[2382]: new group: name=kali, GID=1001

localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,

home=/home/kali

, shell=/bin/bash

localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

#grep "useradd" /var/log/secure

4、删除用户kali日志：

localhost userdel[2393]: delete user 'kali'

localhost userdel[2393]: removed group 'kali' owned by 'kali'

localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

# grep "userdel" /var/log/secure

5、su切换用户：

localhost su: pam_unix(su-l:session): session opened for user good by

root(uid=0)

sudo授权执行:

sudo -l

localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ;

COMMAND=/sbin/shutdown -r now

未完待续。。。

linux系统被入侵排查过程相关推荐

1. LInux系统木马植入排查分析 及 应用漏洞修复配置(隐藏bannner版本等)

   在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

2. 转：记一次linux oom内存溢出排查过程

   @转:记一次linux oom内存溢出排查过程 记一次linux oom内存溢出排查过程 2018年08月16日 14:13:49 enchanterblue 阅读数 4099更多 分类专栏: --- ...

3. Linux 系统故障分析与排查

   在Linux系统中,同样需要进行大量的备份来完成系统的维护工作,并且使用复制粘贴命令即可完成,在接下来的时间中介绍一些关于Linux系统故障分析与排查的操作. 日志服务器的部署 通过一台RHEL5作为 ...

4. linux系统c++编译连接过程，动态库与静态库

   https://www.cnblogs.com/ucas/p/5778664.html(linux系统c++编译连接过程) http://www.cnblogs.com/skynet/p/337285 ...

5. linux系统中毒的解决过程,linux中毒排查过程

   0x01 排查过程 异常进程发现: /usr/bin/.sshd [kworker95] 在开机启动中发现: /tmp下的异常文件 异常的网络连接 使用lsof的时候发现返回内容不正常,查看下lsof ...

6. (转载)一次Linux系统被攻击的分析过程

   IT行业发展到现在,安全问题已经变得至关重要,从最近的"棱镜门"事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自 ...

7. linux 系统命令被后门修改_一次Linux系统被攻击的分析过程

   作者:南非蚂蚁 来源:https://urlify.cn/M7NjIv IT行业发展到现在,安全问题已经变得至关重要,从之前的"棱镜门"事件中,折射出了很多安全问题,信息安全问题已 ...

8. 一次Linux系统被攻击的分析过程

   点击上方 "程序员小乐"关注, 星标或置顶一起成长 每天凌晨00点00分, 第一时间与你相约 每日英文 I may not be perfect, but I'm always m ...

9. 一次Linux系统被***的分析过程

   IT行业发展到现在,安全问题已经变得至关重要,从最近的"棱镜门"事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自 ...

最新文章

1. 解决 Windows10 和 Ubuntu18.04.4 双系统 时间同步不一致问题
2. tcpdf 设置pdf尺寸_AutoCAD中施工图审查PDF、DWF批量输出并自动命名
3. python培训中心-【北京Python培训中心】
4. 微软最新论文解读 | 基于预训练自然语言生成的文本摘要方法
5. linux java 共享内存_Linux进程间通信之共享内存
6. 解决python中出现IndentationError:unindent does not match any outer indentation level错误
7. 数据库并发一致性案例分析（存取钱）
8. Java 内部类
9. R语言ggplot2包之画折线图
10. C语言大型程序的项目管理与实现
11. python自动搜索最佳超参数之GridSearchCV函数
12. 程序员面试谈薪的背后的事，你一定要看看
13. nero linux4 序列号,nero9序列号_可以永久使用的nero9序列号
14. 宠物管理系统mysql_基于java+MySQL的宠物管理系统
15. 设计模式(三)之生成器模式(Builder Pattern)
16. 急速微信开通过滤方法
17. 电子厂里撂了挑子，我默默自学起了Android｜2021年中总结
18. 家用游戏机主机的发展历史
19. 使用GDB和GEF进行调试
20. Xilinx AXI Interconnect相关知识汇总-AXI协议理解（三）

热门文章

1. Ackerman阿克曼（后驱动）前轮舵机转向后轮电机驱动移动平台的建模及控制算法
2. linux虚拟机联网方法（桥接和NAT）
3. 高级计算机网络（习题三加解析）
4. 利用Python进行调查问卷的信度检验和效度检验，并对量表进行因子分析
5. F2BPM 开发Api与RESTfull应用服务Api 层次关系及示例
6. 什么是蓝天使环保认证?
7. Eclipse工程中java文件上有小问号的原因和解决办法
8. 托福110冲刺班-词汇课08-笔记
9. 今夜では一人で雛祭り　　　　001
10. SEO排名，seo排名工具