AI 助理
文档备案控制台
开发者社区 安全 文章 正文

linux服务器木马排查

2024-04-26 473
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【4月更文挑战第18天】该文提供了服务木马排查的六个步骤:1) 检查系统日志,观察异常IP并用SSH防护,限制22端口和root用户;2) 查看系统用户,找寻异常或新创建的UID/GID为0的用户;3) 检查UID为0的进程和隐藏进程,防止恶意活动;4) 搜索异常大文件和具有特殊权限的文件;5) 检验系统计划任务的完整性;6) 使用rkhunter和chkrootkit检测rootkit。关键在于识别入侵点并采取相应措施。

服务木马排查思路

一、 检查系统日志

lastb | awk '{ print $3}' | sort | uniq -c | sort -n
lastb 是一个用于显示 Linux 系统中登录失败的用户相关信息的命令。它读取位于 /var/log 目录下的 btmp 文件,该文件记录了所有登录失败的尝试。可以从这里面查看是否有异常ip登录。
如果有异常ip登录,
解决方案:SHH 服务做防暴力破解,并编写脚本把这些 IP 添加到 iptables
防火墙拒绝掉,重要的是 22 号端口改为其他端口并限制 root 用户

二、 检查系统用户

查看是否有异常的系统用户
cat /etc/passwd
查看是否产生了新用户,UID 和 GID 为 0 的用户
grep "0" /etc/passwd
查看 passwd 的修改时间,判断是否在不知的情况下添加用户
ls -l /etc/passwd
查看是否存在特权用户
awk -F: '$3==0 {print $1}' /etc/passwd
查看是否存在空口令帐户
awk -F: 'length($2)==0 {print $1}' /etc/shadow

三、 检查异常进程

注意 UID 为 0 的进程
使用 ps -ef 命令查看进程
察看该进程所打开的端口和文件
lsof -p pid 命令查看
检查隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc/ |sort -n |uniq >2
diff 1 2

四、检查系统异常文件

文件特殊权限
find / -size +10000k -print
find ./ | xargs lsattr | grep '---\i'
rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs

五、检查系统计划任务

检查配置文件同理 注意常用命令也需要检查,避免被替换
find /etc/cron -type f -exec md5sum {} \; > ./cron1-md5.txt
echo aaa >> /etc/cron.hourly/0anacron
find /etc/cron -type f -exec md5sum {} \; > ./cron2-md5.txt
diff cron1-md5.txt cron2-md5.txt
建议备份 md5 文件到本地。

六、 检查 rootkit

rkhunter -c
chkrootkit -q
这里不做详细排查,因为被 rootkit 之后系统已经不可靠,重装大法 了解
一下!重点在于找到系统被入侵的点。

七、安全配置 SSH 防暴力破解

1.将默认端口 22 修改为自定义的 2020 端口
[root@xu ~]# vi /etc/ssh/sshd_config
[root@xu ~]# grep Port
/etc/ssh/sshd_config
Port 2020
然后重启 sshd 服务

文章标签:
安全
Linux
网络安全
Perl
关键词:
云服务器 ECS Linux
Linux服务器
Linux排查
云服务器 ECS排查
Linux服务器排查
jianz123
目录
相关文章
上云就上阿狸云
|
5月前
|
弹性计算 安全 Linux
阿里云服务器ECS安装宝塔Linux面板、安装网站(新手图文教程)
本教程详解如何在阿里云服务器上安装宝塔Linux面板,涵盖ECS服务器手动安装步骤,包括系统准备、远程连接、安装命令执行、端口开放及LNMP环境部署,手把手引导用户快速搭建网站环境。
上云就上阿狸云
3855 3
蓝易云
|
7月前
|
Linux 网络安全 数据安全/隐私保护
使用Linux系统的mount命令挂载远程服务器的文件夹。
如此一来,你就完成了一次从你的Linux发车站到远程服务器文件夹的有趣旅行。在这个技术之旅中,你既探索了新地方,也学到了如何桥接不同系统之间的距离。
蓝易云
1391 21
蓝易云
|
6月前
|
Java Linux 网络安全
Linux云端服务器上部署Spring Boot应用的教程。
此流程涉及Linux命令行操作、系统服务管理及网络安全知识,需要管理员权限以进行配置和服务管理。务必在一个测试环境中验证所有步骤,确保一切配置正确无误后,再将应用部署到生产环境中。也可以使用如Ansible、Chef等配置管理工具来自动化部署过程,提升效率和可靠性。
蓝易云
681 13
34789737
|
6月前
|
监控 Linux 网络安全
FinalShell SSH工具下载,服务器管理,远程桌面加速软件,支持Windows,macOS,Linux
FinalShell是一款国人开发的多平台SSH客户端工具,支持Windows、Mac OS X和Linux系统。它提供一体化服务器管理功能,支持shell和sftp同屏显示,命令自动提示,操作便捷。软件还具备加速功能,提升访问服务器速度,适合普通用户和专业人士使用。
34789737
2362 0
蓝易云
|
6月前
|
存储 安全 Linux
Linux服务器上安装配置GitLab的步骤。
按照以上步骤,一个基础的GitLab服务应该运行并可以使用。记得定期检查GitLab官方文档,因为GitLab的安装和配置步骤可能随着新版本而变化。
蓝易云
695 0
蓝易云
|
8月前
|
Ubuntu Linux 网络安全
在Linux云服务器上限制特定IP进行SSH远程连接的设置
温馨提示,修改iptables规则时要格外小心,否则可能导致无法远程访问你的服务器。最好在掌握足够技术知识和理解清楚操作含义之后再进行。另外,在已经配置了防火墙的情况下,例如ufw(Ubuntu Firewall)或firewalld,需要按照相应的防火墙的规则来设置。
蓝易云
444 24
弹性计算小冉
|
8月前
|
存储 安全 Ubuntu
从Linux到Windows:阿里云服务器系统镜像适配场景与选择参考
阿里云为用户提供了丰富多样的服务器操作系统选择,以满足不同场景下的应用需求。目前,云服务器的操作系统镜像主要分为公共镜像、自定义镜像、共享镜像、镜像市场和社区镜像五大类。以下是对这些镜像类型的详细介绍及选择云服务器系统时需要考虑的因素,以供参考。
弹性计算小冉
438 7
刘大猫.
|
7月前
|
Linux
Linux下版本控制器(SVN) -服务器端环境搭建步骤
Linux下版本控制器(SVN) -服务器端环境搭建步骤
刘大猫.
317 0
Linux下版本控制器(SVN) -服务器端环境搭建步骤
1436047922066202
|
8月前
|
数据挖掘 Linux 数据库
服务器数据恢复—Linux系统服务器数据恢复案例
服务器数据恢复环境: linux操作系统服务器中有一组由4块SAS接口硬盘组建的raid5阵列。 服务器故障: 服务器工作过程中突然崩溃。管理员将服务器操作系统进行了重装。 用户方需要恢复服务器中的数据库、办公文档、代码文件等。
1436047922066202
258 1
@luotuoemo飞机@TG
|
弹性计算 运维 监控
阿里云国际站:linux云服务器怎么使用?
TG飞机@luotuoemo
@luotuoemo飞机@TG
495 0

热门文章

最新文章

  • 1
    Linux下php.ini配置文件在哪?查找php.ini方法
  • 2
    在Linux中,如何配置静态和动态IP地址?
  • 3
    深入理解Linux内核内存管理机制与实现(下)
  • 4
    Linux基础命令---rm
  • 5
    LINUX文件、目录权限及相关操作命令
  • 6
    关于Linux操作系统下文件特殊权限的解释
  • 7
    查看linux机器是32位还是64位的方法
  • 8
    Linux操作系统下IPTables配置方法详解
  • 9
    XenApp_XenDesktop_7.6实战篇之二十一:Linux Virtual Desktop 1.0(下篇)
  • 10
    关于Linux与windows传递文件乱码问题
  • 1
    阿里云服务器多少钱一年?亲自整理ECS、轻量和GPU服务器租赁价格表
    1229
  • 2
    阿里云轻量应用服务器实例:通用型、多公网IP型、CPU优化、国际及容量型区别对比
    776
  • 3
    阿里云服务器2核4G/4核8G/8核16G配置价格、可选实例区别与选型指南参考
    991
  • 4
    阿里云渠道商:服务器操作系统怎么选?
    440
  • 5
    阿里云轻量应用服务器38元1年和云服务器99元1年怎么选?二者性能区别及选择参考
    474
  • 6
    硅谷GPU单节点服务器:技术解析与应用全景
    238
  • 7
    阿里云渠道商:云服务器价格有什么变动?
    165
  • 8
    阿里云渠道商:如何挑选阿里云服务器配置?
    177
  • 9
    阿里云服务器五代至九代实例规格详解及性能提升对比,场景适配与选择指南参考
    370
  • 10
    租用阿里云服务器一年要多少钱?ECS、轻量和GPU服务器租赁价格,手动整理
    859

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • Linux Web服务器Nginx搭建与配置
  • Linux基本命令
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    附部署代码|云数据库RDS 全托管 Supabase服务:小白轻松搞定开发AI应用