一、linux可能出现的入侵情况及表象
1、存在非法外联占用带宽
2、存在异常进程或者异常端口
3、CPU、内存报警
4、服务器无法正常连接
5、出现异常登录和异常账号
6、网站被注入木马、webshell
二、排查思路
首先确定信息:初步判断黑客攻击路径
1、该服务器是否有对外的业务
2、该服务器部署过什么应用
3、部署应用的密码组成
初步排查::通过不同的表象利用不同方法和命令去排查
1、系统命令是否被篡改,如果被篡改安装busybox代替系统命令,下载地址:https://github.com/mirror/busybox
2、查看登录记录、历史命令、异常账号
last 查看登录历史
history 产看root执行的系统命令
打开/home各账号目录下的.bash_history,查看普通账号的历史命令
cat /etc/passwd 查看有没有异常账号
3、查看异常外联异常进程及文件,注意文件创建的时间
top 查看占用内存和cpu比较高的PID
ps -aux 查看占用内存和cpu比较高的PID和实际的指令位置
netstat -anplt 查看可疑外联ip、端口、PID
ls -l /proc/pid/exe 产看文件对应的路径
lsof -p pid 找到pid对应程序打开的文件
ls -l /etc/init.d 查看启动项
pkill pid 杀掉进程
pstree -h pid -p -a 查看某个进程的进程树
4、计划任务和免密登录
crontab -l 查看是否有可疑的计划任务
ls -l /etc/.ssh 是否有攻击者上传的秘钥
5、查看近期被修改的文件
find / -type f -atime -7/7/+7 7天内/第7天/7天前
6、删除文件
lsattr 查看linux文件得特殊权限(root用户删除文件时发现权限不足)
chattr -ai 删除文件得a和i得权限
7、日志分析
/var/log/message 包括整体系统信息
/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/xferlog(vsftpd.log)记录Linux FTP日志
/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否
/var/log/wtmp 记录登录系统成功的账户信息,等同于命令last
/var/log/faillog 记录登录系统不成功的账号信息,一般会被黑客删除
8、工具
chkrootkit rootkit 查杀 下载网站:http://www.chkrootkit.org
rkhunter rootkit 查杀 下载网站:http://rkhunter.sourceforge.net/
clamav 病毒扫描 下载网站: http://www.clamav.net/download.html
webshell查杀 没有好的办法,可疑把网站目录下载到本地用D盾进行扫描