Linux入侵排查

实验内容

当系统被黑客入侵、需短时间查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施。以下给出一些入侵排查思路

netstat -antpl

查看当前端口状态是LISTEN的端口

针对对外开放的端口，查看日志

先查看ssh爆破的日志

vim /var/log

如果登录成功日志中会出现关键字 Accepted password

可通过下面命令，进行查找

grep "Accepted password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

查看nginx日志

这样看的话很乱，我们可以通过命令进行筛选

 cat access.log | awk '{print $1,$6,$7,$9}' >1.txt

 进入1.txt查看

lastlog查看最近登录过的用户

history 查看历史执行命令

history -c 清除历史执行命令记录

cat /root/.bash 查看历史执行命令

rm- rf /root/.bash删除

可通过su命令进入入侵者新建的用户，通过history 或者 cat /root/.bash 查看攻击者执行的历史命令

 异常服务排查

 

crontab -l 查看当前用户设置的计划任务

cat /root/.bash_history 查看当前用户设置的计划任务

异常启动排查