AI 助理
备案控制台
开发者社区 安全 文章 正文

linux服务器木马排查

2024-04-26 94
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【4月更文挑战第18天】该文提供了服务木马排查的六个步骤:1) 检查系统日志,观察异常IP并用SSH防护,限制22端口和root用户;2) 查看系统用户,找寻异常或新创建的UID/GID为0的用户;3) 检查UID为0的进程和隐藏进程,防止恶意活动;4) 搜索异常大文件和具有特殊权限的文件;5) 检验系统计划任务的完整性;6) 使用rkhunter和chkrootkit检测rootkit。关键在于识别入侵点并采取相应措施。

服务木马排查思路

一、 检查系统日志

lastb | awk '{ print $3}' | sort | uniq -c | sort -n
lastb 是一个用于显示 Linux 系统中登录失败的用户相关信息的命令。它读取位于 /var/log 目录下的 btmp 文件,该文件记录了所有登录失败的尝试。可以从这里面查看是否有异常ip登录。
如果有异常ip登录,
解决方案:SHH 服务做防暴力破解,并编写脚本把这些 IP 添加到 iptables
防火墙拒绝掉,重要的是 22 号端口改为其他端口并限制 root 用户

二、 检查系统用户

查看是否有异常的系统用户
cat /etc/passwd
查看是否产生了新用户,UID 和 GID 为 0 的用户
grep "0" /etc/passwd
查看 passwd 的修改时间,判断是否在不知的情况下添加用户
ls -l /etc/passwd
查看是否存在特权用户
awk -F: '$3==0 {print $1}' /etc/passwd
查看是否存在空口令帐户
awk -F: 'length($2)==0 {print $1}' /etc/shadow

三、 检查异常进程

注意 UID 为 0 的进程
使用 ps -ef 命令查看进程
察看该进程所打开的端口和文件
lsof -p pid 命令查看
检查隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc/ |sort -n |uniq >2
diff 1 2

四、检查系统异常文件

文件特殊权限
find / -size +10000k -print
find ./ | xargs lsattr | grep '---\i'
rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs

五、检查系统计划任务

检查配置文件同理 注意常用命令也需要检查,避免被替换
find /etc/cron -type f -exec md5sum {} \; > ./cron1-md5.txt
echo aaa >> /etc/cron.hourly/0anacron
find /etc/cron -type f -exec md5sum {} \; > ./cron2-md5.txt
diff cron1-md5.txt cron2-md5.txt
建议备份 md5 文件到本地。

六、 检查 rootkit

rkhunter -c
chkrootkit -q
这里不做详细排查,因为被 rootkit 之后系统已经不可靠,重装大法 了解
一下!重点在于找到系统被入侵的点。

七、安全配置 SSH 防暴力破解

1.将默认端口 22 修改为自定义的 2020 端口
[root@xu ~]# vi /etc/ssh/sshd_config
[root@xu ~]# grep Port
/etc/ssh/sshd_config
Port 2020
然后重启 sshd 服务

文章标签:
安全
Linux
网络安全
Perl
关键词:
云服务器 ECS Linux
Linux服务器
云服务器 ECS排查
Linux排查
Linux服务器排查
jianz123
目录
相关文章
wljslmz
|
10天前
|
监控 Linux Shell
服务器Linux的一些常用命令,收藏备用!
【10月更文挑战第20天】
wljslmz
25 2
服务器Linux的一些常用命令,收藏备用!
江湖有缘
|
12天前
|
监控 Java Linux
Linux系统之安装Ward服务器监控工具
【10月更文挑战第17天】Linux系统之安装Ward服务器监控工具
江湖有缘
31 5
Linux系统之安装Ward服务器监控工具
龙蜥社区(OpenAnolis)
|
2天前
|
人工智能 安全 Linux
阿里云服务器操作系统 Alibaba Cloud Linux 全新升级,核心场景性能提升超 20%
Alinux产品家族,助力云+AI 时代多样使用场景。
龙蜥社区(OpenAnolis)
16 1
yuanzhengme
|
5天前
|
Linux 数据库
Linux服务如何实现服务器重启后的服务延迟自启动?
【10月更文挑战第25天】Linux服务如何实现服务器重启后的服务延迟自启动?
yuanzhengme
31 3
游客5fdji2pvmf8888
|
8天前
|
存储 安全 关系型数据库
Linux系统在服务器领域的应用与优势###
本文深入探讨了Linux操作系统在服务器领域的广泛应用及其显著优势。通过分析其开源性、安全性、稳定性和高效性,揭示了为何Linux成为众多企业和开发者的首选服务器操作系统。文章还列举了Linux在服务器管理、性能优化和社区支持等方面的具体优势,为读者提供了全面而深入的理解。 ###
游客5fdji2pvmf8888
18 2
悟道了凡
|
10天前
|
关系型数据库 MySQL Linux
基于阿里云服务器Linux系统安装Docker完整图文教程(附部署开源项目)
基于阿里云服务器Linux系统安装Docker完整图文教程(附部署开源项目)
悟道了凡
105 2
yuanzhengme
|
2天前
|
Linux
Linux 修改服务器时间
【10月更文挑战第27天】Linux 修改服务器时间
yuanzhengme
10 0
一名技术开发者
|
5天前
|
缓存 监控 Linux
Python 实时获取Linux服务器信息
Python 实时获取Linux服务器信息
一名技术开发者
12 0
东方睿赢
|
12天前
|
运维 安全 Linux
Linux中传输文件文件夹的10个scp命令
【10月更文挑战第18天】本文详细介绍了10种利用scp命令在Linux系统中进行文件传输的方法,涵盖基础文件传输、使用密钥认证、复制整个目录、从远程主机复制文件、同时传输多个文件和目录、保持文件权限、跨多台远程主机传输、指定端口及显示传输进度等场景,旨在帮助用户在不同情况下高效安全地完成文件传输任务。
东方睿赢
100 5
江湖有缘
|
11天前
|
Linux
Linux系统之expr命令的基本使用
【10月更文挑战第18天】Linux系统之expr命令的基本使用
江湖有缘
42 4

热门文章

最新文章

  • 1
    Linux脚本丨批量提取VCF文件指定样本数据
  • 2
    linux用户登陆记录脚本
  • 3
    [有用命令]Linux 用户,用户组
  • 4
    linux下ip命令用法
  • 5
    [Redis]Redis安装与启动(Linux CentOS)
  • 6
    linux交换分区的优化-参数优化必选
  • 7
    虚拟机-桥接-linux 问题
  • 8
    Linux free命令详解
  • 9
    Linux 内核中的 GCC 特性
  • 10
    Linux 下安装 Oracle9i
  • 1
    实时计算 Flink版产品使用合集之如果产品是基于ak的,可以提交sql任务到ecs自建hadoop集群吗
    60
  • 2
    理解服务器端渲染(SSR):提高网页性能与SEO的秘籍
    295
  • 3
    WebSocket:实现客户端与服务器实时通信的技术
    564
  • 4
    主从Reactor服务器
    45
  • 5
    Android-音视频学习系列-(八)基于-Nginx-搭建(rtmp、http)直播服务器
    105
  • 6
    RocketMQ源码分析之事务消息实现原理下篇-消息服务器Broker提交回滚事务实现原理
    56
  • 7
    linux/服务器使用scp将一个服务器文件转移到另一个服务器上
    1476
  • 8
    服务器数据恢复—误操作导致xfs文件系统丢失,无法访问的数据恢复案例
    140
  • 9
    社区供稿 | Yuan2.0千亿大模型在通用服务器上的高效推理实现:以NF8260G7服务器为例
    121
  • 10
    构建高性能Web服务器:Nginx vs Apache
    238

    • 相关课程

    更多
  • Linux MySQL服务器搭建与应用
  • Linux服务器运维基本操作
  • 计算机基础与Linux入门
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • Linux指令入门-文件与权限
  • Linux系统的文本处理
  • Linux指令入门-系统管理
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • Alibaba Cloud Linux操作系统的安装及使用
  • Alibaba Cloud Linux操作系统Shell程序

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月