淦、我的服务器又被攻击了

news2024/12/23 0:13:08

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

最近老是有粉丝问我,被黑客攻击了,一定要拔网线吗?还有没有别的方法?

按理说,如果条件允许,一定是先拔网线,防止横向传播。

但很多时候并不能拔网线,比如云服务器这种,网线咱也碰不到呀。

实际上,遇到黑客攻击,并非只有拔网线这一条路,黑客也是人,只要他来攻击,就一定会留下蛛丝马迹。

接下来,我们从7个方向入手,讲解一下分析思路,了解黑客的攻击路径,甚至反制。
在这里插入图片描述

  • 一、账户分析
    • 1、排查可疑账户
    • 2、登录情况
    • 3、历史命令
  • 二、日志分析
  • 三、进程分析
    • 1、查看进程
    • 2、查看进程执行文件
  • 四、网络连接
    • 1、查看网络链接状态
    • 2、威胁情报分析
  • 五、启动项
    • 1、开机启动文件
    • 2、开机启动命令
    • 3、环境变量配置文件
  • 六、计划任务
  • 七、敏感目录文件
    • 1、近期被修改的文件
    • 2、敏感目录

一、账户分析

/erc/passwd 文件存放用户信息。
/bin/bash 表示账户状态为可登录;/sbin/nologin 表示用户状态为不可登录。

在这里插入图片描述

/etc/group 文件存放用户组信息

在这里插入图片描述

1、排查可疑账户

重点排查id大于1000的用户(新建的用户,id会大于1000,系统用户均小于500)。
awk -F: '($2=="")' /etc/shadow 查找空口令账号
awk -F: '($3==0)' /etc/passwdgrep "0:0" /etc/passwd 查找UID为0的超级权限账号,确保只有root。
grep "/bin/bash" /etc/passwd 查找可登录的账号

2、登录情况

who -b 上一次启动时间

在这里插入图片描述

w 查看登录的用户(登录时间、登录IP、正在执行的程序)。

在这里插入图片描述

lastb 查看用户失败信息。

在这里插入图片描述

lastlog 查看所有用户最后登录的信息。

在这里插入图片描述

last 查看最近的登录信息(包含系统开关机)

在这里插入图片描述

3、历史命令

history 查看历史命令。( 会被 history -c 清除)。
/root/.bash_history 文件保存root用户的历史命令
/home/user001/.bash_history 文件保存普通用户的历史命令

history 的历史命令会被 history -c 清除,而 bash_history 文件中的历史命令需要删除文件才能清除。

重点查看可疑历史命令,比如:wget(远程下载),ssh(连接内网),tar zip(压缩打包)

针对重装带后门的SSH服务(内置一个账户,不在系统中显示),可以检查修改修改时间,或者 ssh -V 查看版本。

在这里插入图片描述


二、日志分析

Linux系统日志默认放在 /var/log/

  • /var/log/cron 计划任务日志。
  • /var/log/dmesg 开机自检日志(dmesg命令查看)。
  • /var/log/maillog 邮件日志。
  • /var/log/messages 系统日志(系统出现问题时,重点查看此日志)。
  • /var/log/secure 应用的登录信息及输入的账号密码。

grep "Accepted" /var/log/secure 过滤登录成功的日志

在这里插入图片描述

grep "Failed" /var/log/secure 过滤登录失败的日志

在这里插入图片描述

​/var/log/apache2/access.log Apache访问日志


三、进程分析

重点关注那些结束后会重新启动的进程,按照启动项的步骤分析它重启的方式。

1、查看进程

ps -ef 查看所有进程

在这里插入图片描述

ps -aux 查看所有进程,同时显示CPU和内存的使用情况。

在这里插入图片描述

top 查看CPU占用特别高(80%以上)的进程,可能是挖矿或业务高峰。

在这里插入图片描述

kill -9 PID 根据PID结束进程。

2、查看进程执行文件

ls0f -p 1546 查看PID为1546的进程打开的文件,第三行是进程对应的执行文件。

在这里插入图片描述

ll /proc/1546/exe 查看PID为1546的进程对应的执行程序。

在这里插入图片描述

lsof -i:22 查看22端口对应的进程。

在这里插入图片描述


四、网络连接

检查可疑的网络连接,可疑IP、域名、文件可疑拿到威胁情报平台去分析。

1、查看网络链接状态

netstat -anopt 检查网络连接状态,LISTEN表示监听状态(等待连接);ESTABLISHED表示打开的连接。

在这里插入图片描述

如果已经知道恶意IP,可以过滤查看与恶意IP通信的网络连接 netstat -anopt | grep 192.168.31.28

如果只知道恶意域名,可以修改 /etc/hosts 文件,将恶意域名重定向到其他任意IP,然后再过滤跟这个IP通信的网络连接。

在这里插入图片描述

2、威胁情报分析

威胁情报平台可以查询域名、IP、文件的可信度,存在攻击痕迹就立即封禁。

奇安信威胁情报:https://ti.qianxin.com/
微步在线:https://x.threatbook.com/
VirusTotal:https://www.virustotal.com/gui/home/upload
安恒威胁情报:https://ti.dbappsecurity.com.cn/
深信服威胁情报:https://ti.sangfor.com.cn/analysis-platform
VenusEye威胁情报:https://www.venuseye.com.cn/
360威胁情报:https://ti.360.net/#/homepage


五、启动项

为了防止被控机器失联,很多恶意程序会将自己放到开机启动项中。

1、开机启动文件

检查是否有异常的自启动文件,同时注意文件内容是否被篡改,插入恶意指令。

1)/etc/rc.local

最后一行是脚本,开机引导期间执行。

在这里插入图片描述

/etc/rc.local/etc/rc.d/rc.local 的软连接,两个文件作用相同。

在这里插入图片描述


2)/etc/init.d/

目录下有很多系统服务的启动脚本,在系统启动(引导完成)后执行。

在这里插入图片描述

/etc/init.d//etc/rc.d/init.d/ 的软连接,两个文件作用相同。

在这里插入图片描述

Ubuntu没有 /etc/rc.d/init.d 这个目录,为了保持同一种服务在CentOS和Ubuntu使用的统一性,将服务脚本都放在 /etc/init.d 目录下。


3)/etc/rc*.d

检查其他开机启动目录中,服务启动脚本是否被篡改。

在这里插入图片描述

2、开机启动命令

systemctl list-unit-files 查看服务状态
systemctl list-unit-files | grep firewalld 查看指定服务状态
systemctl stop firewalld.service 停止服务
systemctl disable firewalld.service 禁止开机自启动

查看服务启动状态,enabled表示能够开机自启动;disabled表示不能开机自启动。

在这里插入图片描述

查看指定服务是否开机自启动,并关闭开机自启动。

在这里插入图片描述

3、环境变量配置文件

这些文件用来配置环境变量和启动程序,开机登录用户或者切换用户时触发。

  • /etc/bashrc
  • /etc/profile
  • ~/.bashrc
  • ~/.bash_profile

六、计划任务

crontab -l 查看当前用户的计划任务。
crontab -l -u root 查看指定用户的计划任务。

/etc/crontab 保存定时任务
/etc/anacrontab 保存异步定时任务
/var/spool/cron/ 目录存放每个用户的的定时任务。

在这里插入图片描述

/etc/cron.d 目录存放需要执行的定时任务文件。

在这里插入图片描述

/etc/cron.hourly/ 每小时执行一次的任务
/etc/cron.daily/ 每天执行一次的任务
/etc/cron.weekly/ 每周执行一次的任务
/etc/cron.monthly/ 每月执行一次的任务


七、敏感目录文件

webshell通常会包含恶意函数,比如:

  • PHP:eval()、system()、assert()
  • JSP:getRunTime()、FileOutputStream()
  • ASP:eval()、execute()、ExecuteGlobal()

寻找可疑文件,并检查文件中是否包含这类恶意函数,从而确定它是不是webshell。

1、近期被修改的文件

find /root/ -ctime -2 查找/root/目录下,两天内新创建的文件。
find /root/ -mtime -2 查找/root/目录下,两天内被修改过的文件。

在这里插入图片描述

stat text.txt 查看文件的详细信息,重点看访问/修改/时间。

在这里插入图片描述

ls -alt 按照文件修改时间排序

2、敏感目录

/tmp/ 临时目录,普通用户对其目录内的文件都具有读写的权限,通常用于提权。
/usr/bin/
/usr/sbin/
/etc/ssh/

总结:

应急响应思路大致分为三个部分:

  1. 找到webshell
  2. 确定攻击IP
  3. 回溯攻击操作并梳理攻击过程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/649542.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python进阶语法之三元表达式详解

Python进阶语法之三元表达式详解 Python的三元表达式(Ternary Expressions)是一种简洁高效的编写条件逻辑的方式。与许多其他编程语言一样,Python也提供了三元表达式,可以在一行代码中写出一个if-else条件语句。在这篇博文中&…

Webpack+Babel手把手带你搭建开发环境(内附配置文件)

先简单介绍一下Webpack和Babel Webpack webpack工作就是打包,只要你安装的插件就可以打包一切,并且会自动解析依赖项,是前端的热门工具。Babel Ecmascript的代码一直在更新 但是浏览器的兼容却没有根上,babel就实现了利用服务端n…

【数据分享】1929-2022年全球站点的逐月平均能见度(Shp\Excel\12000个站点)

气象数据是在各项研究中都经常使用的数据,气象指标包括气温、风速、降水、能见度等指标,说到常用的能见度数据,最详细的能见度数据是具体到气象监测站点的能见度数据! 有关气象指标的监测站点数据,之前我们分享过1929…

Jmeter分布式压力测试

目录 1、场景 2、原理 3、注意事项 4、slave配置 5、master配置 6、脚本执行 注意: 1、场景 在做性能测试时,单台机器进行压测可能达不到预期结果。主要原因是单台机器压到一定程度会出现瓶颈。也有可能单机网卡跟不上造成结果偏差较大。 例如4C…

Pytest教程__跳过用例的执行(7)

pytest跳过用例执行的用法与unittest跳过用例大致相同。 pytest跳过用例的方法如下: pytest.mark.skip(reason):无条件用例。reason是跳过原因,下同。pytest.mark.skipIf(condition, reason):condition为True时跳过用例。 pyte…

一文了解清楚前景无限的高性能计算工程师工作内容,原来和码农区别这么大 ...

随着我国对科研基建的重视以及超算互联网的部署工作正式开展,越来越多的人关注到了一块蓝海的就业宝藏——高性能计算工程师。当今一位高性能计算工程师人才可谓抢手至极,尽管年薪高涨,但是依然供不应求。这是未来30年都比较需要的工程技术人…

java基础(多线程)-wait/notify

一、wait/notify的原理 Owner线程发现条件不满足,调用wait方法,即可进入WaitSet变为WAITING状态 BLOCKED和WAITING的线程都处于阻塞状态,不占用CPU时间片BLOCKED线程会在Owner线程释放锁时唤醒WAITING线程会在Owner线程调用notify或notifyAll…

大话设计模式之——单例模式

单例(Singleton) Intent 确保一个类只有一个实例,并提供该实例的全局访问点。 Class Diagram 使用一个私有构造函数、一个私有静态变量以及一个公有静态函数来实现。 私有构造函数保证了不能通过构造函数来创建对象实例,只能…

Selenium+Unittest自动化测试框架实战详解

目录 前言 项目框架 首先管理时间 !/usr/bin/env python3 -- coding:utf-8 -- 配置文件 conf.py config.ini 读取配置文件 记录操作日志 简单理解POM模型 管理页面元素 封装Selenium基类 创建页面对象 熟悉unittest测试框架 编写测试用例 执行用例 生成测试报…

存储圈秘史,细说“配额管理”的那些事儿

江湖乱战 分布式存储圈管理者“配额管理”出手划天下 各方数据混战之际 管理员划分空间应接不暇 不可避免的产生资源划分不合理等问题 各路“配额管理”豪杰陆续上线,力求结束纷争一统江湖 职场人所熟知的办公软件“共享盘”冲锋在前 共享盘可支持多人实时上…

在Blender中制作一艘海船

今天瑞云小编给大家带了由作者Menno Snoek的Blender教程,一名自学成才的 3D 艺术家,现在已经使用 Blender 大约 2 年了,接下来跟着云渲染小编看下Express Shipping(海船)背后的工作流程。 介绍 嘿!我叫 M…

高分子PEG:Maleimide-PEG5K-NOTA,NOTA-聚乙二醇马来酰亚胺,规格特点介绍

NOTA-PEG5000-Mal,Maleimide-PEG5K-NOTA,NOTA-聚乙二醇马来酰亚胺,MV5000产品结构式: 产品规格: 1.CAS号:N/A 2.包装规格:1g、5g、10g,包装灵活,有100mg包装也有500mg 1…

技术新动向 | 谷歌云大举扩展安全 AI 生态系统

【本文由 Cloud Ace 整理发布, Cloud Ace 是谷歌云全球战略合作伙伴,拥有 300 多名工程师,也是谷歌最高级别合作伙伴,多次获得 Google Cloud 合作伙伴奖。作为谷歌托管服务商,我们提供谷歌云、谷歌地图、谷歌办公套件…

Linux:IP地址和主机名

1、IP地址:每个联网的电脑都会有一个地址,用于和其他计算机进行通讯 IP地址目前有两个版本,IPv4和IPv6,目前最常用的是IPv4版本;IPv4版本的地址格式为a:b:c:d,a、b、c、d代表了0-255的数字 Linux中&#xf…

基于SSM的电影院购票系统开源啦

大家好,今天给大家带来一款SSM的电影院售票系统,非常不错的一个项目,学习javaweb编程必备。 下载地址在文末 1.SpringMVC Spring MVC属于SpringFrameWork的后续产品,已经融合在Spring Web Flow 里面。Spring 框架提供了构建 Web …

ESP32构建简单WebServer服务器

目录 WebServer 服务器ESP32 filesystem uploaderWebServer 库WIFI 链接网页与代码烧录 WebServer 服务器 此案例中,我们将创建一个最简单的 webserver 服务器 案例实现:ESP32 通过 SPIFFS 上传网页文件并保存,之后手机开启热点,E…

华为OD机试真题 JavaScript 实现【检查是否存在满足条件的数字组合】【2022Q4 100分】

一、题目描述 给定一个正整数数组,检查数组中是否存在满足规则的数字组合 规则:A B 2C 二、输入描述 第一行输出数组的元素个数。 接下来一行输出所有数组元素,用空格隔开。 三、输出描述 如果存在满足要求的数,在同一行…

Vue:全选多个选择框

可以使用 v-model 来绑定一个布尔类型的变量来实现全选多个选择框的功能。具体步骤如下: 在data中定义一个数组,用来存储所有需要选择的项的状态。 在模板中使用 v-for 指令循环渲染每个选择框,并将每个选择框的状态绑定到数组中对应的项上。…

从VALSE 2023看近期人工智能的研究热点

VALSE发起于2011年,是Vision And Learning SEminar的简写,取法语“华尔兹舞”之意,中文名称为视觉与学习青年学者研讨会。VALSE为计算机视觉、图像处理、模式识别与机器学习研究领域的华人青年学者提供了一个自由、平等、低成本的深度学术交流…

Postgresql源码(106)Generic Plan与Custom Plan的区别(以分区表为例)

相关: 《Postgresql源码(105)分区表剪枝代码分析》 《Postgresql源码(106)Generic Plan与Custom Plan的区别(以分区表为例)》 实例 CREATE TABLE measurement (city_id int not null,l…