2. 锁定可疑用户一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:[root@server ~]# passwd -l nobody锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:[root@server ~]# ps -ef|grep @pts/3531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3[root@server ~]# kill -9 6051这样就将可疑用户nobody从线上踢下去了 。如果此用户再次试图登录它已经无法登录了 。3. 通过last命令查看用户登录事件last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的 。三、查看系统日志查看系统日志是查找攻击源最好的方法,可查的'系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令 。
四、检查并关闭系统可疑进程检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:首先通过pidof命令可以查找正在运行的进程PID,例如要查找sshd进程的PID,执行如下命令:[root@server ~]# pidof sshd13276 12942 4284然后进入内存目录,查看对应PID目录下exe文件的信息:[root@server ~]# ls -al /proc/13276/exelrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd这样就找到了进程对应的完整执行路径 。如果还有查看文件的句柄,可以查看如下目录:[root@server ~]# ls -al /proc/13276/fd通过这种方式基本可以找到任何进程的完整执行信息,此外还有很多类似的命令可以帮助系统运维人员查找可疑进程 。例如,可以通过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:[root@server ~]# fuser -n tcp 111111/tcp: 1579[root@server ~]# fuser -n tcp 2525/tcp: 2037[root@server ~]# ps -ef|grep 2037root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/masterpostfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -upostfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -uroot 14927 12944 0 21:11 pts/1 00:00:00 grep 2037在有些时候,攻击者的程序隐藏很深,例如rootkits后门程序,在这种情况下ps、top、netstat等命令也可能已经被替换,如果再通过系统自身的命令去检查可疑进程就变得毫不可信,此时,就需要借助于第三方工具来检查系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,通过这些工具可以很方便的发现系统被替换或篡改的程序 。五、检查文件系统的完好性检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级 。
此时可以借助于Linux下rpm这个工具来完成验证,操作如下:[root@server ~]# rpm -Va....L... c /etc/pam.d/system-authS.5..... c /etc/security/limits.confS.5....T c /etc/sysctl.confS.5....T /etc/sgml/docbook-simple.catS.5....T c /etc/login.defsS.5..... c /etc/openldap/ldap.confS.5....T c /etc/sudoers..5....T c /usr/lib64/security/classpath.security....L... c /etc/pam.d/system-authS.5..... c /etc/security/limits.confS.5..... c /etc/ldap.confS.5....T c /etc/ssh/sshd_co
- 央行宣布新的支付方式,扫码支付方式新变革,二维码将被“淘汰”了吗?
- 被毒虫咬伤后疼痛剧烈怎么办
- 手臂被太阳晒伤皮肤怎么办
- 羽绒被可以用多少年
- 意外烫伤的急救措施是什么
- ts服务器是不是要购买
- 海伦凯勒1964年被授予什么
- 网络语咸鱼是什么意思
- 萨摩耶有攻击性吗
- 狗狗消瘦但精神好 狗狗的营养可能被抢了!