3、历史操作命令的清理:history-c
但此命令并不会消除保存在文件中的记录,因而须要自动删掉.bash_profile文件中的记录。
步入用户目录下
cat.bash_history>>history.txt
netstat-antlp|more
查看下pid所对应的进程文件路径,
运行ls-l/proc/$PID/exe或file/proc/$PID/exe($PID为对应的pid号)
psaux|greppid开机启动配置文件
事例:当我们须要开机启动自己的脚本时,只须要将可执行脚本丢在/etc/init.d目录下,之后在/etc/rc.d/rc*.d中构建软
链接即可
此处sshd是具体服务的脚本文件,S100100ssh是其软链接,S开头代表加载时自启动;若果是K开头的脚本文件,代表
运行级别加载时须要关掉的。
入侵排查:
启动项文件:more/etc/rc.local/etc/rc.d/rc.dls-l/etc/rc.d/rc3.d/
1.6检测定时任务
基本使用
1、利用crontab创建计划任务
基本命令
crontab-l列举某个用户cron服务的详尽内容
Tips:默认编撰的crontab文件会保存在(/var/spool/cron/用户名比如:/var/spool/cron/root
crontab-r删掉每位用户cront任务(慎重:删掉所有的计划任务)
crontab-e使用编辑器编辑当前的crontab文件
如:*/1****echo”helloworld”>>/tmp/test.txt每分钟写入文件
2、利用anacron实现异步定时任务调度
使用案例
每天运行/home/backup.sh脚本:vi/etc/anacrontab@daily10example.daily/bin/bash/home/backup.sh
当机器在backup.sh期望被运行时是死机的linux运维博客,anacron会在机器开机十分钟过后运行它,而不用再等待7天。
入侵排查
重点关注以下目录中是否存在恶意脚本
小方法:
vi/etc/inittab
id=3:initdefault系统开机后直接步入那个运行级别
/etc/rc.local
/etc/rc.d/rc.d
root@localhost~
#ln-s/etc/init.d/sshd/etc/rc.d/rc3.d/S100ssh
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*日志文件说明
/var/log/cron记录了系统定时任务相关的日志
1.7检测服务
服务自启动
第一种更改方式:
第二种更改方式:
第三种更改方式:
使用ntsysv命令管理自启动,可以管理独立服务和xinetd服务。
入侵排查
1、查询已安装的服务:
RPM包安装的服务
源码包安装的服务
1.8检测异常文件
1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹linux passwd,以“..”为名的文件治具有隐藏属性
2、得到发觉WEBSHELL、远控木马的创建时间,怎么找出同一时间范围内创建的文件?
可以使用find命令来查找,如find/opt-iname”*”-atime1-typef找出/opt下三天前访问过的文件
3、针对可疑文件可以使用stat进行创建更改时间。
1.9检测系统日志
日志默认储存位置:/var/log/
查看日志配置情况:more/etc/rsyslog.conf
more/etc/cron.daily/*查看目录下所有文件
chkconfig
--level运行级别
独立服务名
chkconfig–level2345httpdon开启自启动
chkconfighttpdon(默认level是2345)
更改/etc/re.d/rc.local文件
加入/etc/init.d/httpdstart
chkconfig--list查看服务自启动状态,可以看见所有的RPM包安装的服务
psaux|grepcrond查看当前服务
系统在3与5级别下的启动项
英文环境
chkconfig--list|grep”3:启用|5:启用”
英语环境
chkconfig--list|grep”3:on|5:on”
查看服务安装位置,通常是在/user/local/
servicehttpdstart
搜索/etc/rc.d/init.d/查看是否存在日志文件说明
/var/log/cups记录复印信息的日志
/var/log/dmesg记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog记录电邮信息
/var/log/message记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息linux passwd,假如系统出现
问题时,首先要检测的就应当是这个日志文件
/var/log/btmp记录错误登陆日志linux开源软件,这个文件是二补码文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog记录系统中所有用户最后一次登陆时间的日志,这个文件是二补码文件,不能直接vi,而要使用
lastlog命令查看
/var/log/wtmp永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机风波。同样这个文件也是
一个二补码文件,不能直接vi,而须要使用last命令来查看
/var/log/utmp记录当前早已登陆的用户信息,这个文件会随着用户的登陆和注销不断变化,只记录当前登入用户
的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询
/var/log/secure记录验证和授权方面的信息,只要涉及帐号和密码的程序就会记录,例如SSH登入,su切换用户,
sudo授权,甚至添加用户和更改用户密码就会记录在这个日志文件中
日志剖析方法:
1、定位有多少IP在爆破主机的root账号:
grep”Failedpasswordforroot”/var/log/secure|awk'{print$11}’|sort|uniq-c|sort-
nr|more
定位有什么IP在爆破:
grep”Failedpassword”/var/log/secure|grep-E-o”(25|2|??).
(25|2|??).(25|2|??).(25|2|??)”|uniq-c
爆破用户名子典是哪些?
grep”Failedpassword”/var/log/secure|perl-e’while($_=){/for(.*?)from/;print
“$1n”;}’|uniq-c|sort-nr
2、登录成功的IP有什么:
grep”Accepted”/var/log/secure|awk'{print$11}’|sort|uniq-c|sort-nr|more
登陆成功的日期、用户名、IP:
grep”Accepted”/var/log/secure|awk'{print$1,$2,$3,$9,$11}’
3、增加一个用户kali日志:
Jul1000:12:15localhostuseradd:newgroup:name=kali,GID=1001
Jul1000:12:15localhostuseradd:newuser:name=kali,UID=1001,GID=1001,
home=/home/kali
,shell=/bin/bash
Jul1000:12:58localhostpasswd:pam_unix(passwd:chauthtok):passwordchangedforkali
#grep”useradd”/var/log/secure
4、删除用户kali日志:
Jul1000:14:17localhostuserdel:deleteuser’kali’
Jul1000:14:17localhostuserdel:removedgroup’kali’ownedby’kali’
Jul1000:14:17localhostuserdel:removedshadowgroup’kali’ownedby’kali’
#grep”userdel”/var/log/secure
5、su切换用户:
Jul1000:38:13localhostsu:pam_unix(su-l:session):sessionopenedforusergoodby
root(uid=0)
sudo授权执行:0x02工具篇
2.1Rootkit查杀
chkrootkit
网址:
rkhunter
网址:
2.2病毒查杀
Clamav
ClamAV的官方下载地址为:
安装方法一:
sudo-l
Jul1000:43:09localhostsudo:good:TTY=pts/4;PWD=/home/good;USER=root;
COMMAND=/sbin/shutdown-rnow
使用方式:
wgetftp://.br/pub/seg/pac/chkrootkit.tar.gz
tarzxvfchkrootkit.tar.gz
cdchkrootkit-0.52
makesense
#编译完成没有报错的话执行检测
./chkrootkit
使用方式:
Wget
1.4.4.tar.gz
tar-zxvfrkhunter-1.4.4.tar.gz
cdrkhunter-1.4.4
./installer.sh--install
rkhunter-c
1、安装zlib:
wget
tar-zxvfzlib-1.2.7.tar.gz
cdzlib-1.2.7
#安装一下gcc编译环境:yuminstallgcc
CFLAGS=”-O3-fPIC”./configure--prefix=/usr/local/zlib/
make&&makeinstall
2、添加用户组clamav和组成员clamav:
groupaddclamav
useradd-gclamav-s/bin/false-c”ClamAntiVirus”clamav
3、安装Clamav
tar–zxvfclamav-0.97.6.tar.gz
cdclamav-0.97.6
./configure--prefix=/opt/clamav--disable-clamav-with-zlib=/usr/local/zlib
make
makeinstall
4、配置Clamav
mkdir/opt/clamav/logs
mkdir/opt/clamav/updata安装方法二:
2.3webshell查杀
linux版:
2.4RPMcheck检测
系统完整性可以通过rpm自带的-Va来校准检测所有的rpm软件包,查看什么命令是否被替换了:
倘若一切均校准正常将不会形成任何输出,假如有不一致的地方,都会显示下来,输出格式是8位长字符串,每位字
符都用以表示文件与RPM数据库中一种属性的比较结果,假若是.(点)则表示测试通过。
假如命令被替换了,若果还原回去:
touch/opt/clamav/logs/freshclam.log
touch/opt/clamav/logs/clamd.log
cd/opt/clamav/logs
chownclamav:clamavclamd.log
chownclamav:clamavfreshclam.log
5、ClamAV使用:
/opt/clamav/bin/freshclam升级病毒库
./clamscan–h查看相应的帮助信息
./clamscan-r/home扫描所有用户的主目录就使用
./clamscan-r--bell-i/bin扫描bin目录而且显示有问题的文件的扫描结果
#安装
yuminstall-yclamav
#更新病毒库
freshclam
#扫描方式
clamscan-r/etc--max-dir-recursion=5-l/root/etcclamav.log
clamscan-r/bin--max-dir-recursion=5-l/root/binclamav.log
clamscan-r/usr--max-dir-recursion=5-l/root/usrclamav.log
#扫描并杀毒
clamscan-r--remove/usr/bin/bsd-port
clamscan-r--remove/usr/bin/
clamscan-r--remove/usr/local/zabbix/sbin
#查看日志发觉
cat/root/usrclamav.log|grepFOUND
河马webshell查杀:
深信服Webshell网站侧门检查工具:
./rpm-Va>rpm.log
验证内容中的8个信息的具体内容如下:
S文件大小是否改变
M文件的类型或文件的权限(rwx)是否被改变
5文件MD5校准是否改变(可以看成文件内容是否改变)
D设备中,从代码是否改变
L文件路径是否改变
U文件的属主(所有者)是否改变
G文件的属组是否改变
T文件的更改时间是否改变
2.5linux安全检测脚本
