Linux系统入侵排查(一)

本文涉及的产品
实时计算 Flink 版,1000CU*H 3个月
实时数仓Hologres,5000CU*H 100GB 3个月
智能开放搜索 OpenSearch行业算法版,1GB 20LCU 1个月
简介: 本文探讨了在遭遇黑客入侵或系统异常时进行应急响应和排查的必要性,重点介绍了基于Kali Linux的入侵排查步骤。排查的目标是找出潜在的恶意活动,恢复系统的安全性,并防止未来攻击。总结来说,进行Linux系统入侵排查需要密切关注账号安全,跟踪历史命令,及时识别并消除安全隐患。同时,保持对最新攻击手段和技术的了解,以便更好地防御和应对潜在的网络安全威胁。

前言

版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。                            

原文链接:https://blog.csdn.net/weixin_72543266/article/details/138596038

       对我处在学生时期的我来说,目前web渗透还是为主,但是还是需要对于蓝队相关的应急响应,等保测评等还是需要有一定的了解的,攻防兼备才能越站越勇嘛,linux入侵排查也能够让我更加熟悉liunx命令.

为什么要做系统入侵排查

       当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。

入侵排查思路

作为渗透小子一名,当然是通过kali来进行练习和总结了

1.检查账号安全

基本使用:

cat和more指令说明

cat


cat命令是整个文件的内容从上到下显示在屏幕上。还可以将多个文件连接起来显示,它常与重定向符号配合使用,适用于文件内容少的情况.


more


 more命令会以一页一页的显示方便使用者逐页阅读,而最基本的指令就是按空白键(space)就往下一页显示,按 b 键就会往回(back)一页显示,而且还有搜寻字串的功能 。more命令从前向后读取文件,因此在启动时就加载整个文件。

1、查看用户信息文件

cat /etc/passwd(信息少)

more /etc/passwd(信息多)

root:x:0:0:root:/root:/usr/bin/zsh
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
account:password:UID:GID:GECOS:directory:shell

image.gif

image.gif

需要注意的是:无密码只允许本机登陆,远程不允许登陆

方法:将后面有nologin的排除,因为有nologin的表示不能远程登录的,对剩下的账号进行排查看是否存在可疑账号或不应该存在的账号

2、影子文件

cat /etc/shadow

这是个存密码的文件,存储着上面查出的用户对应的密码

用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期的警告天 数:密码过期之后的宽限天数:账号失效时间:保留

kali:$y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::

image.gif

没有密码的用户就看不到这么一大串字符了: $y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7::: image.gif

两次密码的修改时间间隔:0表示没有修改过 密码有效期:99999表示永不过期 密码修改到期的警告天数:7表示7天内都会提醒你 注:linux的密码是双层加密的(加密和加盐),不容易破解

3.查看当前登录用户

who

image.gif

(tty本地登陆 ,pts远程登录,比如用xshell这种工具连接登录上去的),一般本地登录的都是没什么问题的,排查远程登录的这些账号。排查是否是通过暴力破解登录上来的、还是自己人登录的.

image.gif

w 查看系统信息,想知道某一时刻用户的行为

参考博客:CentOS下用于查看系统当前登录用户信息的4种方法_centos 查看用户信息-CSDN博客

uptime 查看登陆多久、多少用户,负载

参考博客:CentOS下Uptime命令详解 - 服务器之家

2.账号安全入侵排查方法总结

解释:有人入侵进来之后,肯定会把自己的级别提到管理员,方便进行更多的操作,通过指令可以查看有哪些用户为管理员,也就是特权用户.

1、查询特权用户特权用户(uid 为0)

root㉿kali)-[/home/kali]

└─# awk -F: '$3==0{print $1}' /etc/passwd

image.gif

2、查询可以远程登录的帐号信息

这里因为我没有进行远程登录页就不存在远程登录的信息,如果存在的话,就会出现上面查出的登录用户的加密的账号密码 ,例如出现如下所示  账号:密码  这种格式        

kali:$y$j9T$k2TlXoYE./3ZfpPlC1rnz/$0GYCwPePph6GEy24/N8s7vVxlzwndL/DltBOhVQ1pLC:19799:0:99999:7:::

(root㉿kali)-[/home/kali]

└─# awk '/\$1|\$6/{print $1}' /etc/shadow


image.gif

3、除root帐号外 o权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"  # 其他的主机

─(root㉿kali)-[/home/kali]

└─# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL:ALL) ALL"

image.gif

命令的主要目的是检查sudoers文件中是否允许所有用户(ALL)在所有主机(ALL)上执行sudo命令。

4、禁用或删除多余及可疑的帐号

这里我先创建一个用户做一个案例:

sudo useradd -M hello   创建一个用户名为hello的用户

┌──(root㉿kali)-[/home/kali]

└─# sudo useradd -M hello

image.gif

usermod -L user  

禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头   user表示你查到的用

户名



image.gif

剩下的这两个语句,用来删除确定是威胁的用户

userdel user       删除user用户

userdel -r user   将删除user用户,并且将/home目录下的user目录一并删除,有些人入侵完成删除自己用户的时候,可能忘记了加-r,那么在/home目录下是有它用户名的文件夹的,也就是存有相关信息。

image.gif

2.查看历史命令确定目标

基本使用:

通过 .bash_history 查看帐号执行过的系统命令

1、root的历史命令

首先切换到用户(例如root)的用户目录,然后输入下面的命令

history N 显示最近的N条命令,例如history 5

history -d N 删除第N条命令,这个N就是前面的编号,例如history -d 990

history -c 清空命令历史 (包括缓存和文件)

history -a 将当前会话中的命令历史写入指定文件

history -w:把缓存中的历史命令写入历史命令保存文件~/.bash_history(显然每个用户有自己的文件)



2、查看普通帐号的历史命令

打开/home各帐号目录下的 .bash_history ,为历史的命令增加登录的IP地址、执行命令时间等信息:

1)保存1万条命令,默认只保存1000条

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

image.gif

2)在 /etc/profile 的文件尾部添加如下行数配置信息:

######***************#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### ************** ##########

image.gif

vim /etc/profile

image.gif

然后按I键,进行输入,将上面的写入文件中,最后按:wq,进行写入

image.gif

3) source /etc/profile 让配置生效

再执行history指令,生成效果:

第一条记录 什么时候执行的   哪个ip地址过来执行的 用的哪个用户 执行的什么指令

1  2024-05-9 12:45:39 192.168.xxx.1 root source /etc/profile


3、历史操作命令的清除: history -c

       但此命令并不会清除保存在文件中的记录,因此需要手动删除 .bash_profile 文件中的记录。入侵者如果能力比较强的,也会把这个文件删除。

总结

       对系统进行入侵排查也是比较费时间和精力的一次行动,本篇目前只记录这么多,后续会继续记录和总结.

相关文章
|
1月前
|
缓存 监控 Linux
Linux系统清理缓存(buff/cache)的有效方法。
总结而言,在大多数情形下你不必担心Linux中buffer与cache占用过多内存在影响到其他程序运行;因为当程序请求更多内存在没有足够可用资源时,Linux会自行调整其占有量。只有当你明确知道当前环境与需求并希望立即回收这部分资源给即将运行重负载任务之前才考虑上述方法去主动干预。
675 10
|
1月前
|
安全 Linux 数据安全/隐私保护
为Linux系统的普通账户授予sudo访问权限的过程
完成上述步骤后,你提升的用户就能够使用 `sudo`命令来执行管理员级别的操作,而无需切换到root用户。这是一种更加安全和便捷的权限管理方式,因为它能够留下完整的权限使用记录,并以最小权限的方式工作。需要注意的是,随意授予sudo权限可能会使系统暴露在风险之中,尤其是在用户不了解其所执行命令可能带来的后果的情况下。所以在配置sudo权限时,必须谨慎行事。
295 0
|
1月前
|
Ubuntu Linux 开发者
国产 Linux 发行版再添新成员,CutefishOS 系统简单体验
当然,系统生态构建过程并不简单,不过为了帮助国产操作系统优化生态圈,部分企业也开始用国产操作系统替代 Windows,我们相信肯定会有越来越多的精品软件登录 Linux 平台。
101 0
|
1月前
|
Ubuntu 安全 Linux
Linux系统入门指南:从零开始学习Linux
Shell脚本是一种强大的自动化工具,可以帮助您简化重复的任务或创建复杂的脚本程序。了解Shell脚本的基本语法和常用命令,以及编写和运行Shell脚本的步骤,将使您更高效地处理日常任务。
192 0
|
1月前
|
Ubuntu Linux 图形学
Linux学习之Linux桌面系统有哪些?
Cinnamon:与MATE类似,Cinnamon 拥有 GNOME 和 Unity 等其它桌面环境所没有的种种功能,是高度可定制的桌面环境,不需要任何外部插件、窗口组件和调整工具来定制桌面。
109 0
|
19天前
|
Unix Linux 程序员
Linux文本搜索工具grep命令使用指南
以上就是对Linux环境下强大工具 `grep` 的基础到进阶功能介绍。它不仅能够执行简单文字查询任务还能够处理复杂文字处理任务,并且支持强大而灵活地正则表达规范来增加查询精度与效率。无论您是程序员、数据分析师还是系统管理员,在日常工作中熟练运用该命令都将极大提升您处理和分析数据效率。
83 16
|
11天前
|
Linux
linux命令—stat
`stat` 是 Linux 系统中用于查看文件或文件系统详细状态信息的命令。相比 `ls -l`,它提供更全面的信息,包括文件大小、权限、所有者、时间戳(最后访问、修改、状态变更时间)、inode 号、设备信息等。其常用选项包括 `-f` 查看文件系统状态、`-t` 以简洁格式输出、`-L` 跟踪符号链接,以及 `-c` 或 `--format` 自定义输出格式。通过这些选项,用户可以灵活获取所需信息,适用于系统调试、权限检查、磁盘管理等场景。
|
2月前
|
监控 Linux 网络安全
Linux命令大全:从入门到精通
日常使用的linux命令整理
656 13
|
3月前
|
Linux 网络安全 数据安全/隐私保护
使用Linux系统的mount命令挂载远程服务器的文件夹。
如此一来,你就完成了一次从你的Linux发车站到远程服务器文件夹的有趣旅行。在这个技术之旅中,你既探索了新地方,也学到了如何桥接不同系统之间的距离。
532 21