备案控制台
开发者社区 安全 文章 正文

linux服务器木马排查

2024-04-26 23
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【4月更文挑战第18天】该文提供了服务木马排查的六个步骤:1) 检查系统日志,观察异常IP并用SSH防护,限制22端口和root用户;2) 查看系统用户,找寻异常或新创建的UID/GID为0的用户;3) 检查UID为0的进程和隐藏进程,防止恶意活动;4) 搜索异常大文件和具有特殊权限的文件;5) 检验系统计划任务的完整性;6) 使用rkhunter和chkrootkit检测rootkit。关键在于识别入侵点并采取相应措施。

服务木马排查思路

一、 检查系统日志

lastb | awk '{ print $3}' | sort | uniq -c | sort -n
lastb 是一个用于显示 Linux 系统中登录失败的用户相关信息的命令。它读取位于 /var/log 目录下的 btmp 文件,该文件记录了所有登录失败的尝试。可以从这里面查看是否有异常ip登录。
如果有异常ip登录,
解决方案:SHH 服务做防暴力破解,并编写脚本把这些 IP 添加到 iptables
防火墙拒绝掉,重要的是 22 号端口改为其他端口并限制 root 用户

二、 检查系统用户

查看是否有异常的系统用户
cat /etc/passwd
查看是否产生了新用户,UID 和 GID 为 0 的用户
grep "0" /etc/passwd
查看 passwd 的修改时间,判断是否在不知的情况下添加用户
ls -l /etc/passwd
查看是否存在特权用户
awk -F: '$3==0 {print $1}' /etc/passwd
查看是否存在空口令帐户
awk -F: 'length($2)==0 {print $1}' /etc/shadow

三、 检查异常进程

注意 UID 为 0 的进程
使用 ps -ef 命令查看进程
察看该进程所打开的端口和文件
lsof -p pid 命令查看
检查隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc/ |sort -n |uniq >2
diff 1 2

四、检查系统异常文件

文件特殊权限
find / -size +10000k -print
find ./ | xargs lsattr | grep '---\i'
rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs

五、检查系统计划任务

检查配置文件同理 注意常用命令也需要检查,避免被替换
find /etc/cron -type f -exec md5sum {} \; > ./cron1-md5.txt
echo aaa >> /etc/cron.hourly/0anacron
find /etc/cron -type f -exec md5sum {} \; > ./cron2-md5.txt
diff cron1-md5.txt cron2-md5.txt
建议备份 md5 文件到本地。

六、 检查 rootkit

rkhunter -c
chkrootkit -q
这里不做详细排查,因为被 rootkit 之后系统已经不可靠,重装大法 了解
一下!重点在于找到系统被入侵的点。

七、安全配置 SSH 防暴力破解

1.将默认端口 22 修改为自定义的 2020 端口
[root@xu ~]# vi /etc/ssh/sshd_config
[root@xu ~]# grep Port
/etc/ssh/sshd_config
Port 2020
然后重启 sshd 服务

文章标签:
安全
Linux
网络安全
Perl
关键词:
云服务器 ECS Linux
Linux服务器
Linux排查
Linux木马排查
jianz123
目录
相关文章
飞川撸码
|
6天前
|
消息中间件 安全 Linux
服务器(Linux)在线下载activeMQ以及配置打开
服务器(Linux)在线下载activeMQ以及配置打开
飞川撸码
15 3
飞川撸码
|
6天前
|
Java Linux
Linux(服务器) 装JDK
Linux(服务器) 装JDK
飞川撸码
21 1
xiaowang_lj
|
4天前
|
Linux 网络安全
linux/服务器使用scp将一个服务器文件转移到另一个服务器上
linux/服务器使用scp将一个服务器文件转移到另一个服务器上
xiaowang_lj
32 3
江湖有缘
|
5天前
|
监控 JavaScript 网络协议
Linux系统之安装uptime-kuma服务器监控面板
【5月更文挑战第12天】Linux系统之安装uptime-kuma服务器监控面板
江湖有缘
19 0
蓝易云
|
6天前
|
关系型数据库 MySQL Linux
服务器Linux系统配置mysql数据库主从自动备份
这是一个基本的配置主从复制和设置自动备份的指南。具体的配置细节和命令可能因您的环境和需求而有所不同,因此建议在操作前详细阅读MySQL文档和相关资源,并谨慎操作以避免数据丢失或不一致。
蓝易云
21 3
终有链响
|
6天前
|
Java Linux Arthas
linux上如何排查JVM内存过高?
linux上如何排查JVM内存过高?
终有链响
790 0
是Yu欸
|
6天前
|
Oracle Java 关系型数据库
【服务器】python通过JDBC连接到位于Linux远程服务器上的Oracle数据库
【服务器】python通过JDBC连接到位于Linux远程服务器上的Oracle数据库
是Yu欸
17 6
XError_xiaoyu
|
6天前
|
监控 安全 Linux
Linux系统入侵排查(三)
本文介绍了Linux系统入侵排查的相关知识。首先解释了进行系统入侵排查的原因,即当企业遭受黑客攻击、系统崩溃或其他安全事件时,需要迅速恢复系统并找出入侵来源。接着,重点讲述了日志入侵排查的重要性,因为日志文件记录了系统的重要活动,可以提供入侵行为的线索。
XError_xiaoyu
29 0
XError_xiaoyu
|
6天前
|
安全 Linux Shell
Linux系统入侵排查(二)
本文介绍了Linux系统入侵排查的步骤,包括检查历史命令记录、可疑端口和进程、开机启动项以及定时任务。作者强调了了解这些技能对于攻防两端的重要性,并提供了相关命令示例,如查看`/root/.bash_history`记录、使用`netstat`分析网络连接、检查`/etc/rc.local`和`/etc/cron.*`目录下的可疑脚本等。此外,还提到了如何查看和管理服务的自启动设置,以判断是否被恶意篡改。文章旨在帮助读者掌握Linux服务器安全维护的基本技巧。
XError_xiaoyu
43 2
XError_xiaoyu
|
6天前
|
缓存 安全 Linux
Linux系统入侵排查(一)
本文探讨了在遭遇黑客入侵或系统异常时进行应急响应和排查的必要性,重点介绍了基于Kali Linux的入侵排查步骤。排查的目标是找出潜在的恶意活动,恢复系统的安全性,并防止未来攻击。总结来说,进行Linux系统入侵排查需要密切关注账号安全,跟踪历史命令,及时识别并消除安全隐患。同时,保持对最新攻击手段和技术的了解,以便更好地防御和应对潜在的网络安全威胁。
XError_xiaoyu
39 0

热门文章

最新文章

  • 1
    阿里云学生云服务器申请,阿里云送每个大学生一台云服务器
  • 2
    Serverless 应用引擎操作报错合集之在阿里云函数计算中,服务器调用FC函数时出现 "[Errno -3] Temporary failure in name resolution)" 错误如何解决
  • 3
    如何在阿里云服务器快速搭建部署Nginx环境
  • 4
    阿里云服务器搭建部署宝塔详细流程
  • 5
    阿里云服务器购买之后发票如何申请?申请发票流程及常见问题参考
  • 6
    Apsara Clouder云计算专项技能认证:云服务器ECS
  • 7
    阿里云服务器搭建部署宝塔详细流程
  • 8
    在阿里云服务器上部署Tomcat详细图文详解
  • 9
    阿里云服务器经济型e、通用算力型u1与c7/g7/r7/c8y/g8y/r8y实例区别及选择参考
  • 10
    Serverless 应用引擎产品使用之在阿里函数计算中,使用阿里云API或SDK从函数计算调用ECS实例的服务如何解决
  • 1
    Linux系统之file命令的基本使用
    46
  • 2
    Linux 常用命令汇总(四):信息显示 & 用户管理
    32
  • 3
    【Linux】—— 信号的基本介绍(一)
    37
  • 4
    【Linux】—— 详解动态库和静态库
    98
  • 5
    【Linux】—— 详解软硬链接
    48
  • 6
    【Linux】—— 在Linux上进行读写文件操作
    44
  • 7
    【Linux】—— 进程等待 wait&&waitpid
    47
  • 8
    linux链接工具有哪些
    18
  • 9
    【Linux】—— 详解计算机体系结构
    41
  • 10
    【Linux】——调试器-gdb的使用
    30

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • Linux MySQL服务器搭建与应用
  • Linux用户和组管理
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • Alibaba Cloud Linux操作系统的安装及使用
  • Alibaba Cloud Linux操作系统Shell程序
  • 手动部署MySQL数据库(Alibaba Cloud Linux 2)
  • 部署并使用Docker(Alibaba Cloud Linux 3)
  • 部署并使用Docker(Alibaba Cloud Linux 2)

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考