记录技术收获,分享个人心得

人生如负重远行,不可急于求成

linux服务器被黑后的排查

linux服务器被黑的情况比较少,但是也有的,如果怀疑被黑或者有被黑迹象,可以按照下文方法进行排查。

1、检查进程

(1)输入top,shift+p按照cpu排序,shift+m按照内存排序,查看下是否有异常的进程占用很高。
(2)ps aux | more 检查所有进程,找出不是很常见的进行下排查,这个需要结合一些经验。

查看到pid后检查proc位置检查下的pid路径,找到异常进程的程序文件,kill掉进程,然后删除。

使用ll /proc/进程ID 查看exe路径

《linux服务器被黑后的排查》

2、检查启动项
(1)检查/etc/init.d/目录,有无异常服务
(2)vi /etc/rc.local 查看有无异常启动项
(3)centos可使用chkconfig查看3为on的服务
3、检查计划任务
(1)crontab -l查看有没有被加入异常的计划任务,如果有需要根据文件路径做处理删除
(2)检查/var/spool/cron有无用户的计划任务(部分计划任务是以其他用户添加的)
(3)检查/etc/cron.daily/等下面的计划任务,打开查看下,比如
vi /etc/cron.daily/logrotate

黑客可以在一些正常的计划任务中添加异常代码,实现异常的启动项

《linux服务器被黑后的排查》

cron.d  系统级别的定时任务
cron.daily  系统每天要执行的计划任务
cron.hourly 系统每小时要执行的计划任务
cron.monthly 系统每月要执行的计划任务
cron.weekly   系统每周要执行的计划任务
4、检查用户和组
(1)查看/etc/passwd下的异常用户
(2)查看/etc/group组中有无异常
(3)检查空口令,uid为0的用户,和就有登录权限的用户
使用命令 awk -F: ‘($7==”/bin/bash”){print $1}’ /etc/passwd   查看具有登录权限的用户
使用命令 awk -F: ‘($3==0)’ /etc/passwd    查看UID为0的账号,UID为0的用户会自动切换到root用户,所以危害很大正常只有root
使用命令 awk -F: ‘($2==””)’ /etc/shadow   查看空口令账号,如果存在空口令用户的话必须设置密码

5、检查应用的敏感目录

比如/tmp/ MySQL的运行data目录,有没有被注入大量恶意信息 ,如果发现有很多异常的程序,需要删除下(这种一般不容易清理干净,可以进行下备份恢复)

处理后可参考:http://www.gaoshan.me/operation/system/linux/linux-security-reinforce.html 进行一次安全加固。


点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

hi~

你好,欢迎来到我的博客,欢迎留言。

快速搜索:







Generic selectors

Exact matches only


Search in title


Search in content



Search in posts


Search in pages

欢迎关注我:

微博
steam
网易云音乐
QQ
500px

常用命令:

http://www.gaoshan.me/cmd