0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何鉴别Linux服务器是否被入侵

马哥Linux运维 来源:Devops技术栈 作者:Devops技术栈 2022-03-16 10:08 次阅读

随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。

背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。

1.入侵者可能会删除机器的日志信息

可以查看日志信息是否还存在或者是否被清空,相关命令示例:

1b943486-9332-11ec-952b-dac502259ad0.png

2.入侵者可能创建一个新的存放用户名及密码文件

可以查看/etc/passwd及/etc/shadow文件,相关命令示例:

1ba51788-9332-11ec-952b-dac502259ad0.png

3.入侵者可能修改用户名及密码文件

可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,相关命令示例:

1bb1e260-9332-11ec-952b-dac502259ad0.png

4.查看机器最近成功登陆的事件和最后一次不成功的登陆事

对应日志“/var/log/lastlog”,相关命令示例:

1bc7d99e-9332-11ec-952b-dac502259ad0.png

5.查看机器当前登录的全部用户

对应日志文件“/var/run/utmp”,相关命令示例:

1bd96740-9332-11ec-952b-dac502259ad0.png

6.查看机****器创建以来登陆过的用户

对应日志文件“/var/log/wtmp”,相关命令示例:

1be702b0-9332-11ec-952b-dac502259ad0.png

7.查看机器所有用户的连接时间(小时)

对应日志文件“/var/log/wtmp”,相关命令示例:

1bfa42a8-9332-11ec-952b-dac502259ad0.png

8.如果发现机器产生了异常流量

可以使用命令“tcpdump”抓取网络包查看流量情况或者使用工具”iperf”查看流量情况

9.可以查看/var/log/secure日志文件

尝试发现入侵者的信息,相关命令示例:

1c08c490-9332-11ec-952b-dac502259ad0.png

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

1c1a9e54-9332-11ec-952b-dac502259ad0.jpg

b.在虚拟文件系统目录查找该进程的可执行文件

1c2e1998-9332-11ec-952b-dac502259ad0.png

11.如果确认机器已被入侵,重要文件已被删除,可以尝试找回被删除的文件Note:

1、当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外,这个文件是不可见的,因为已经删除了其相应的目录索引节点。

2、在/proc 目录下,其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域,所以这些文件和目录并不存在于磁盘中,因此当我们对这些文件进行读取和写入时,实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中,即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件,它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。

3、当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。

假设入侵者将/var/log/secure文件删除掉了,尝试将/var/log/secure文件恢复的方法可以参考如下:

a.查看/var/log/secure文件,发现已经没有该文件

1c3a67d4-9332-11ec-952b-dac502259ad0.png

b.使用lsof命令查看当前是否有进程打开/var/log/secure,

1c4a1684-9332-11ec-952b-dac502259ad0.png

c.从上面的信息可以看到 PID 1264(rsyslogd)打开文件的文件描述符为4。同时还可以看到/var/log/ secure已经标记为被删除了。因此我们可以在/proc/1264/fd/4(fd下的每个以数字命名的文件表示进程对应的文件描述符)中查看相应的信息,如下:

1c5c8c74-9332-11ec-952b-dac502259ad0.jpg

d.从上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据,那么就可以使用I/O重定向将其重定向到文件中,如:

1c6ed780-9332-11ec-952b-dac502259ad0.png

e.再次查看/var/log/secure,发现该文件已经存在。对于许多应用程序,尤其是日志文件和数据库,这种恢复删除文件的方法非常有用。

1c7b6702-9332-11ec-952b-dac502259ad0.jpg

原文标题:11 个步骤完美排查服务器是否被入侵

文章出处:【微信公众号:马哥Linux运维】欢迎添加关注!文章转载请注明出处。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux
    +关注

    关注

    87

    文章

    11199

    浏览量

    208691
  • 服务器
    +关注

    关注

    12

    文章

    8947

    浏览量

    85065
  • 开源
    +关注

    关注

    3

    文章

    3213

    浏览量

    42298

原文标题:11 个步骤完美排查服务器是否被入侵

文章出处:【微信号:magedu-Linux,微信公众号:马哥Linux运维】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    linux服务器和windows服务器

    Linux服务器和Windows服务器是目前应用最广泛的两种服务器操作系统。两者各有优劣,也适用于不同的应用场景。本文将 对Linux
    发表于 02-22 15:46

    教你linux搭建web服务器

    教你linux搭建web服务器和大家分享了一份配置文档,希望对您用linux搭建web服务器有所启发。
    发表于 12-28 14:18 8836次阅读

    基于Linux系统的FTP服务器的实现

    为了在Linux系统下实现安全、高效的FTP服务器,选择了具有小巧轻快、安全易用等优点的服务器软件vsftpd。通过对Linux平台下FTP网络服务
    发表于 07-24 15:36 39次下载

    入侵服务器的症状分析与应对方法

    本指南中所谓的服务器入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响。
    的头像 发表于 12-25 10:26 3763次阅读

    解析Linux如何判断自己的服务器是否入侵的检测方法

    如何判断自己的服务器是否入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以
    的头像 发表于 01-13 10:27 5970次阅读

    排查Linux机器入侵的11个步骤

    随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经入侵了显得至关重要,个人结合自己的工作经历,整理了几
    的头像 发表于 08-08 14:42 2676次阅读
    排查<b class='flag-5'>Linux</b>机器<b class='flag-5'>被</b><b class='flag-5'>入侵</b>的11个步骤

    如何查看云服务器是否遭受过网络攻击

    服务器怎么查看攻击?有时候云服务器出现异常,有可能是人为操作不当引起的,也有可能是系统被黑客入侵了。
    发表于 01-05 11:26 2281次阅读

    linux如何搭建web服务器

    linux搭建web服务器流程如下
    发表于 06-08 09:09 9174次阅读
    <b class='flag-5'>linux</b>如何搭建web<b class='flag-5'>服务器</b>

    Linux服务器入侵导致冻结的过程

    来自:看雪论坛,作者:Hefe https://bbs.pediy.com/thread-225163.htm 不一会运维的同事也到了,气喘吁吁的说:我们有台服务器阿里云冻结了,理由:对外恶意发包
    的头像 发表于 09-01 16:11 3169次阅读

    服务器入侵挖矿的过程与解决方法

    常在河边走,哪能不湿鞋。自认为安全防范意识不错,没想到服务器入侵挖矿的事情也能落到自己头上。
    的头像 发表于 07-22 16:47 6729次阅读

    如何在linux服务器中打开端口

    有时我们可能需要在Linux服务器中打开端口或在Linux服务器的防火墙中启用端口来运行特定的应用程序。在本文中,小编将带大家分析一下如何在linu
    的头像 发表于 10-17 16:22 1.2w次阅读

    服务器数据恢复】断电导致linux服务器数据区索引清除的数据恢复

    linux服务器连接到准备好的数据恢复服务器上,以只读模式对服务器数据做镜像备份,备份完成后将服务器归还用户。后续的数据分析和数据恢复操作
    的头像 发表于 01-13 13:34 719次阅读

    如何使用Checkmk监控Linux服务器

    `Checkmk` 是用于监控 Linux 服务器的最常用和用户友好的应用程序之一。它可以检查与您的 Linux 服务器连接的服务器状态、负
    的头像 发表于 02-17 10:46 1139次阅读
    如何使用Checkmk监控<b class='flag-5'>Linux</b><b class='flag-5'>服务器</b>?

    手动检测是否入侵

    Gitlab代码是否又被修改过,用gitdiff查看 查看代码的日志 代码是否改动过 查看服务器日志 是否有被劫持 查看登录记录 查看非
    发表于 02-29 10:45 914次阅读

    服务器入侵现象、排查和处理步骤

    近期有一个朋友的服务器(自己做了网站)好像遭遇了入侵,具体现象是: 服务器 CPU 资源长期 100%,负载较高。 服务器上面的服务不能正常
    发表于 03-22 10:56 1021次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>入侵</b>现象、排查和处理步骤