博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Linux 攻击防护基础排查
阅读量:4519 次
发布时间:2019-06-08

本文共 2751 字,大约阅读时间需要 9 分钟。


作者:Zzang

来源:cnblogs
原文:https://www.cnblogs.com/Zzang/p/LinuxHack.html
版权声明:本文为博主原创文章,转载请附上博文链接!

基本网络拓扑图

title

1. 准备阶段。配置云主机,模拟简单的ssh登录爆破入侵行为

  • 步骤一:登录阿里云管理控制台。打开云主机。
  • 步骤二:打开VMware,将kali虚拟机的网卡模式设置为NAT,打开kali。打开终端,测试ping云主机,需成功ping通,如下图所示
    title
  • 步骤三:通过SSH访问云主机,通过root账户登录云主机,前两次输入错误的密码,第三次输入正确的密码,并成功访问,如下图所示
    title
  • 步骤四:创建新用户hack,如下图所示
    title
  • 步骤五:为新用户设置密码“123456”,如下图所示
    title
  • 步骤六:再次打开一个终端,使用hack用户连接云主机,并输入错误的密码,如下图所示
    title

自行配置hack账户的其他重要权限,或添加其他的账户,如空密码账户等等。并尝试远程登录使用。

2. Linux云主机ECS应急响应排查

1)账号安全

  • 步骤一:查看账号,尝试找出异常账号,并分析账号的权限,并记录在实操报告中,如下图所示
    title
  • 步骤二:查看影子文件,并分析账号密码的设置情况,并记录在实操报告中,如下图所示
    title
  • 步骤三:使用下列命令,进一步分析账号信息,并记录在实操报告中,
  • who 查看当前登录用户(tty本地登陆 pts远程登录)
  • w 查看系统信息,想知道某一时刻用户的行为
  • uptime 查看登陆多久、多少用户,负载who 查看当前登录用户(tty本地登陆 pts远程登录)
  • w 查看系统信息,想知道某一时刻用户的行为
  • uptime 查看登陆多久、多少用户,负载
    title

2)入侵排查:

  • 步骤一:查询特权用户(特权用户,uid为0)
    [root@hostserver ~]# awk -F: '$3==0{print $1}' /etc/passwd
    title
  • 步骤二:查询可以远程登录的帐号信息
    [root@hostserver ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
  • 步骤三:除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
    [root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
  • 步骤四:禁用或删除多余及可疑的帐号
    • useradd user 创建帐号
    • usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
    • userdel user 删除user用户
    • userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除

      3)历史命令查询

  • 步骤一: 输入命令 history,查看
  • 步骤二:查找文件 .bash_history所在目录,进入用户目录下,

    输入命令:cat .bash_history >> history.txt, 查看文件history.txt.
    或:tailf -200 /home/[指定username]/.bash_history

    4)查看端口信息

  • 步骤一:使用命令netstat –antlp | more ,如下图所示

    title

5)查看进程信息和cpu等利用信息

  • 步骤一:使用ps命令,并查看参考文献,使用ps命令的常用查看命令组合,并将结果记录在实操报告中。
    title
  • 步骤二:使用top命令,并查看参考文献,使用top命令的常用查看命令组合,并将结果记录在实操报告中。
    title

6)查看开机启动项、定时任务、服务

  • 步骤:查看参考文献,完成上述排查,并将结果记录在实操报告中。

7)查看系统日志

  • 步骤一:
  • 日志默认存放位置:/var/log/
  • 查看日志配置情况:more /etc/rsyslog.conf
    title
  • 步骤二:定位有多少IP在爆破主机的root帐号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

title

  • 步骤三:定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o  "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

title

  • 步骤四:爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

title

  • 步骤五:2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

title

  • 登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

title

  • 步骤六:查看增加用户的日志信息
grep "useradd" /var/log/secure

title

3. 使用工具协助排查入侵

  • 步骤一:安装Rootkit查杀工具。
./chkrootkit使用方法:wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcd chkrootkit-0.52 (先查看安装的目录)make sense#编译完成没有报错的话执行检查./chkrootkit

4,病毒查杀

  • 使用工具Clamav
    ClamAV的官方下载地址为:http://www.clamav.net/download.html

作者:Zzang

来源:cnblogs
原文:https://www.cnblogs.com/Zzang/p/LinuxHack.html
版权声明:本文为博主原创文章,转载请附上博文链接!

转载于:https://www.cnblogs.com/Zzang/p/LinuxHack.html

你可能感兴趣的文章
函数指针的调用方式
查看>>
jacob 给word加印的功能
查看>>
利用for循环来实现全选
查看>>
在Hbuilder中的项目传到github的步骤
查看>>
高级DirectDraw 分类: VC++ D...
查看>>
Vue2.0的动画效果
查看>>
记录一次nginx的upstream的配置信息
查看>>
Bug搬运工-CSCvm33229:Environment summary not available on COS APs
查看>>
じ守望者┱ o
查看>>
底层驱动框架1
查看>>
jquery formcheck.js
查看>>
51nod 1251 Fox序列的数量 (容斥)
查看>>
centos7安装Lnmp(Linux+Nginx+MySql+Php+phpMyAdmin+Apache)
查看>>
iOS内存警告浅析
查看>>
Python入门---[第二篇]基础语法
查看>>
Swift---Swift5基本语法
查看>>
分析Ajax请求并抓取今日头条街拍美图
查看>>
[bzoj1452][JSOI2009]Count(树状数组)
查看>>
C/C++(指针数组)
查看>>
数据库的三大范式
查看>>