备案控制台
探索云世界
开发者社区 安全 文章 正文

linux服务器木马排查

2024-04-26 15
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【4月更文挑战第18天】该文提供了服务木马排查的六个步骤:1) 检查系统日志,观察异常IP并用SSH防护,限制22端口和root用户;2) 查看系统用户,找寻异常或新创建的UID/GID为0的用户;3) 检查UID为0的进程和隐藏进程,防止恶意活动;4) 搜索异常大文件和具有特殊权限的文件;5) 检验系统计划任务的完整性;6) 使用rkhunter和chkrootkit检测rootkit。关键在于识别入侵点并采取相应措施。

服务木马排查思路

一、 检查系统日志

lastb | awk '{ print $3}' | sort | uniq -c | sort -n
lastb 是一个用于显示 Linux 系统中登录失败的用户相关信息的命令。它读取位于 /var/log 目录下的 btmp 文件,该文件记录了所有登录失败的尝试。可以从这里面查看是否有异常ip登录。
如果有异常ip登录,
解决方案:SHH 服务做防暴力破解,并编写脚本把这些 IP 添加到 iptables
防火墙拒绝掉,重要的是 22 号端口改为其他端口并限制 root 用户

二、 检查系统用户

查看是否有异常的系统用户
cat /etc/passwd
查看是否产生了新用户,UID 和 GID 为 0 的用户
grep "0" /etc/passwd
查看 passwd 的修改时间,判断是否在不知的情况下添加用户
ls -l /etc/passwd
查看是否存在特权用户
awk -F: '$3==0 {print $1}' /etc/passwd
查看是否存在空口令帐户
awk -F: 'length($2)==0 {print $1}' /etc/shadow

三、 检查异常进程

注意 UID 为 0 的进程
使用 ps -ef 命令查看进程
察看该进程所打开的端口和文件
lsof -p pid 命令查看
检查隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc/ |sort -n |uniq >2
diff 1 2

四、检查系统异常文件

文件特殊权限
find / -size +10000k -print
find ./ | xargs lsattr | grep '---\i'
rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs

五、检查系统计划任务

检查配置文件同理 注意常用命令也需要检查,避免被替换
find /etc/cron -type f -exec md5sum {} \; > ./cron1-md5.txt
echo aaa >> /etc/cron.hourly/0anacron
find /etc/cron -type f -exec md5sum {} \; > ./cron2-md5.txt
diff cron1-md5.txt cron2-md5.txt
建议备份 md5 文件到本地。

六、 检查 rootkit

rkhunter -c
chkrootkit -q
这里不做详细排查,因为被 rootkit 之后系统已经不可靠,重装大法 了解
一下!重点在于找到系统被入侵的点。

七、安全配置 SSH 防暴力破解

1.将默认端口 22 修改为自定义的 2020 端口
[root@xu ~]# vi /etc/ssh/sshd_config
[root@xu ~]# grep Port
/etc/ssh/sshd_config
Port 2020
然后重启 sshd 服务

文章标签:
安全
Linux
网络安全
Perl
关键词:
Linux服务器
Linux木马排查
jianz123
目录
相关文章
java开发-郭老师
|
27天前
|
Java Linux
Springboot 解决linux服务器下获取不到项目Resources下资源
Springboot 解决linux服务器下获取不到项目Resources下资源
java开发-郭老师
40 0
驰网飞飞
|
16天前
|
Unix Linux 数据安全/隐私保护
Linux服务器如何远程连接?服务器远程连接图文教程
服务器操作系统可以实现对计算机硬件与软件的直接控制和管理协调,任何计算机的运行离不开操作系统,服务器也一样,服务器操作系统主要分为四大流派:Windows Server、Netware、Unix和Linux。 今天驰网飞飞就给你们分享下Linux、Unix系统远程连接图文操作方法
驰网飞飞
21 4
Linux服务器如何远程连接?服务器远程连接图文教程
请看我回答~
|
6天前
|
Prometheus 监控 Cloud Native
构建高效可靠的Linux服务器监控体系
【4月更文挑战第30天】 在维护企业级Linux服务器的稳定性和性能方面,一个周全的监控体系是至关重要的。本文将探讨如何利用开源工具和实践构建一个高效、灵活且用户友好的监控系统。我们将重点讨论核心组件的选择、配置、报警机制以及数据分析方法,旨在帮助读者打造一个能够实时响应并预防潜在问题的监控环境。
请看我回答~
15 0
shark-chili
|
8天前
|
缓存 网络协议 Linux
Linux服务器性能优化小结(下)
Linux服务器性能优化小结(下)
shark-chili
24 0
shark-chili
|
8天前
|
监控 算法 Linux
Linux服务器性能优化小结(上)
Linux服务器性能优化小结(上)
shark-chili
17 0
桃李春风一杯酒
|
8天前
|
安全 算法 Linux
【专栏】Linux 服务器还有漏洞?建议使用 OpenVAS 日常检查!
【4月更文挑战第28天】OpenVAS 是一款开源的漏洞扫描工具,用于全面评估 Linux 服务器安全。它具有全面性、准确性和实时性的特点,能扫描各种设备并及时发现安全漏洞。使用 OpenVAS 包括安装、配置和执行扫描,以及分析结果并采取修复措施。在使用过程中应注意扫描时间、范围和策略的选择。通过定期检查和修复漏洞,结合其他安全措施,可以提升服务器安全性。OpenVAS 是保障 Linux 服务器安全的重要工具,但安全维护也需要持续学习和适应新挑战。
桃李春风一杯酒
15 1
还在路上的秃头
|
9天前
|
运维 网络协议 Linux
【Linux】CentOS网络故障排查大揭秘: 实战攻略解读
【Linux】CentOS网络故障排查大揭秘: 实战攻略解读
还在路上的秃头
30 4
还在路上的秃头
|
9天前
|
运维 网络协议 Linux
【Linux】Linux网络故障排查与解决指南
【Linux】Linux网络故障排查与解决指南
还在路上的秃头
23 1
yuanzhengme
|
10天前
|
监控 Linux 网络安全
Linux服务器如何查询连接服务器的IP
【4月更文挑战第17天】Linux服务器如何查询连接服务器的IP
yuanzhengme
13 1
渐暖
|
11天前
|
Linux
如何将一个linux服务器挂载到另外一个linux服务器上
如何将一个linux服务器挂载到另外一个linux服务器上
渐暖
13 1

热门文章

最新文章

  • 1
    Linux基础与服务器架构综合小实践
  • 2
    网络名称空间在Linux虚拟化技术中的位置
  • 3
    Redis的安装(Linux版)
  • 4
    Linux如何检查文件夹的大小?
  • 5
    Linux进程和计划任务管理
  • 6
    安装【银河麒麟V10】linux系统--并挂载镜像
  • 7
    工作中常用到的Linux命令
  • 8
    Linux文件编程(open read write close函数)
  • 9
    Linux文件常用操作
  • 10
    Linux手动清理Linux脚本日志定时清理日志和log文件执行表达式
  • 1
    Linux 常用命令汇总(四):信息显示 & 用户管理
    28
  • 2
    【Linux】—— 信号的基本介绍(一)
    34
  • 3
    【Linux】—— 详解动态库和静态库
    80
  • 4
    【Linux】—— 详解软硬链接
    45
  • 5
    【Linux】—— 在Linux上进行读写文件操作
    35
  • 6
    【Linux】—— 进程等待 wait&&waitpid
    41
  • 7
    linux链接工具有哪些
    14
  • 8
    【Linux】—— 详解计算机体系结构
    37
  • 9
    【Linux】——调试器-gdb的使用
    27
  • 10
    【Linux】Linux第一个小程序-进度条
    37

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • Linux用户和组管理
  • Linux基本命令
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • Alibaba Cloud Linux操作系统的安装及使用
  • Alibaba Cloud Linux操作系统Shell程序
  • 手动部署MySQL数据库(Alibaba Cloud Linux 2)
  • 部署并使用Docker(Alibaba Cloud Linux 3)
  • 部署并使用Docker(Alibaba Cloud Linux 2)

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    将Stable Diffusion模型文件转存到FC环境的NAS