Linux服务器入侵检测排查方法 _服务器入侵

1、账号安全基本使用：
1 ）用户信息文件 /etc/passwd root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell 注：无密码只允许本机登陆，远程不允许登陆
2）影子文件/etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之
后的宽限天数：账号失效时间：保留
who//查看当前登录用户（tty本地登陆pts远程登录）
w //查看系统信息，想知道某一时刻用户的行为
uptime //查看登陆多久、多少用户，负载
入侵排查：1）查询特权用户特权用户(uid 为0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
2）查询可以远程登录的帐号信息
[root@localhost ~]# awk '/$1|$6/{print $1}' /etc/shadow
3）除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限[root@localhost ~]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)" 4、禁用或删除多余及可疑的帐号
usermod -L user禁用帐号，帐号无法登录， /etc/shadow第二栏为!开头
userdel user删除user用户
userdel -r user将删除user用户，并且将/home目录下的user目录一并删除
2、文件排查1）敏感目录的文件分析[类/tmp 目录，命令目录/usr/bin /usr/sbin 等]
ls用来显示目标列表

2）查看 tmp 目录下的文件：ls –alt /tmp/

文章插图

3）查看开机启动项内容：ls -alt /etc/init.d/ ， /etc/init.d 是 /etc/rc.d/init.d的软链接

文章插图

基本使用：
系统运行级别示意图：

文章插图

入侵排查：
启动项文件： more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d
4）按时间排序查看指定目录下文件：ls -alt | head -n 10

文章插图

针对可疑文件可以使用 stat 进行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。
（1） Access Time：简写为 atime ，表示文件的访问时间。当文件内容被访问时，更新这个时间。
（2） Modify Time：简写为 mtime ，表示文件内容的修改时间，当文件的数据内容被修改时，更新这个时间。
（3） Change Time：简写为 ctime ，表示文件的状态时间，当文件的状态被修改时，更新这个时间，例如文件的链接数，大小，权限， Blocks 数。

文章插图

5）查看历史命令记录文件~/.bash_history
查找~/.bash_history 命令执行记录，主要分析是否有账户执行过恶意操作系统；命令在 linux 系统里，只要执行过命令的用户，那么在这个用户的 HOME 目录下，都会有一个.bash_history 的文件记录着这个用户都执行过什么命令；

文章插图

那么当安全事件发生的时候，我们就可以通过查看每个用户所执行过的命令，来分析一下这个用户是否有执行恶意命令，如果发现哪个用户执行过恶意命令，那么我们就可以锁定这个线索，去做下一步的排查。
基本使用：
通过.bash_history查看帐号执行过的系统命令
①root的历史命令
histroy
②打开/home各帐号目录下的.bash_history ，查看普通帐号的历史命令
为历史的命令增加登录的IP地址、执行命令时间等信息：
a)保存1万条命令
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
b）在/etc/profile的文件尾部添加如下行数配置信息：
######jiagu history xianshi#########