Linux 分析排查

1.敏感文件信息

1.1.tmp 目录

/tmp:临时目录文件,每个用户都可以对它进行读写操作。因此一个普通用户可以对 /tmp 目录执行读写操作(ls -alt)

筛查 /tmp 目录下是否存在相关的恶意文件等

1.2.开机启动:/etc/init.d

恶意代码很可能设置在开机自启动的位置

查看指定目录下文件时间顺序的排序:ls -alt |head -n 10

查看文件时间属性:stat 文件名(查看陌生的文件属性)

如果发现服务器被入侵的时间和文件相关的更改时间相近,那么很有可能是恶意代码,需要进行具体分析

1.3.分析敏感文件

新增文件分析(恶意文件时间未被修改):

查找 24 小时内被修改的文件

find ./ -mtime 0 -name "*.php"(-mtime:修改时间,0表示(0+1)*24小时之内,从现在开始前24小时)

查找72 小时内新增的文件

find ./ -ctime -2 -name "*.php"(-ctime:创建时间,2表示(2+1)*24小时之内)

权限查找:在Linux中,如果具有777权限,那么文件很可疑

find ./ -iname "*.php*" -perm 777(-iname:忽略大小写;-perm:用于设定筛选文件权限)

2.网络连接分析

在 Linux 中使用 netstat 进行网络连接查看:man netstat(查看帮助文档)

常用命令 netstat -pantl 查看出于 tcp 网络套接字相关信息

关闭未知连接:kill -9 pid

3.进程分析

查看所有进程信息:ps aux

筛选具体 PID 的进程信息:ps aux |grep PID(lsof -i:端口号,也可以实现类似功能)

4.登录分析

通过查看日志信息,来分析是否有异常登录(分析是否是熟悉的IP)

查看登录日志:last

筛选非本地登录:last-i |grep -v 0.0.0.0

实时查看当前登录内容:w

5.异常用户分析排查

创建root权限的账户:将 /etc/passwd 中的 uid 和 gid 都改为 0 即可

查看具有 root 权限的账户:grep "0:0" /etc/passwd

查看 /etc/passwd 文件的修改时间是否异常

筛选出空密码账户:awk -F: '$2 == "!" {print $1}' /etc/shadow

6.历史命令分析-history

默认记录之前执行的命令会保存在 /root/.bash_history 文件中

查看历史命令:cat /root/.bash_history 或 history

特别注意:wget(可能远程下载木马)、ssh(连接内网主机)、tar zip类命令(数据打包)、系统配置等(命令修改)

7.计划任务排查-crontab

使用 crontab 命令进行计划任务设定

  • -e:用来编辑设定计划任务
  • -l:查看当前计划任务
  • -r:删除计划任务

特别注意计划任务中未知内容

8.开机自启动项排查

开机自启动程序目录:/etc/init.d

查看程序状态:/etc/init.d/程序名称 status(start、stop)

取消开机自启动:update-rc.d 程序名称 disable(enable)

9.$PATH 变量异常

查看环境变量:echo $PATH

修改 PATH:export PATH=$PATH:/usr/locar/new/bin(本次终端中有效,重启后无效)

永久生效:/etc/profile 或 /home/.bashrc(刷新:source ~/.bashrc)

10.后门自动排查

河马 webshell 扫描器:https://www.shellpub.com/#

安装使用:https://blog.csdn.net/WEARE001/article/details/122862090

  • 不要放置在 web 目录下
  • 不要在 web 目录下运行软件

chkrootkit:https://www.chkrootkit.org/download/

Rootkit Hunter:https://rkhunter.sourceforge.net/

chkrootkit 和 Rootkit Hunter 的安装及使用:https://www.cnblogs.com/timssd/p/5679578.html

02、Linux 排查的更多相关文章

  1. Linux排查问题工具汇总

    geektime专栏<linux性能优化实战>笔记 一.Linux问题排查命令 uptime top free vmstat iostat ifstat 二.Sun JDK自带工具 jps ...

  2. 笔记02 linux的一些命令sed

    #!/bin/bash # dataformat=`date +%Y-%m-%d-%H-%M` #进行文件件cp并重命名 nginx_home=/opt/modules/nginx-1.12/ cp ...

  3. 02 Linux常见命令

    GUI图形界面 图形界面对于我们的Linux系统来说就是一个单独的软件程序,可以安装也可以不用安装: 我们常见的Linux下的常用图形软件为Gnome.KDE.XFce: GLI命令界面 Linux常 ...

  4. Linux排查Java程序占用CPU很高的解决办法

    Java的工具集相当强大,学习成本也很低,处理线上问题时,jstack这个工具就比微软的windbg,好学好用很多,3步找出占用CPU很高的源所在.而windbg反人类的各种命令,实在不敢恭维. 故意 ...

  5. 01.02 linux命令(1

    =================常用的Linux命令============================Ls 查看当前文件夹下或者其他文件夹的文件列表或者文件夹列表Ls  -l 详细信息的列表L ...

  6. 02 Linux常用基本命令(二)

    1.Linux的文件系统格式 1.以 / 为根目录,成树状结构分布 2.查看根目录下有什么 ls / 3./下有超级用户root的家目录(root),还有普通用户的家目录(/home) 4.常用文件夹 ...

  7. day04 - 02 linux简单的操作命令

    man ls:查看ls的帮助文档 ls --help:查看ls的帮助文档,简单查看 help cd: 查看内置命令(man)不可以查看内置命令 touch [filename]:创建一个文件 pwd: ...

  8. 操作系统|02.Linux基础(1)

    Linux基础 1.Linux系统安装.密码的破解 1.1常见的系统 unix:性能稳定,价格高昂,命令与Linux相通.多为大型政府单位.大型企业.金融机构使用. Linux:开源.自由 Linux ...

  9. 02 Linux 下安装JDK并测试开发“Hello World!”

    测试环境 主机系统:Win7 64位 虚拟机:VMware® Workstation 11.1.0 虚拟机系统:CentOS 6.5 64位   Kernel 2.6.32-431.e16.x86_6 ...

  10. linux 排查page的状态问题

    最近遇到一个page的释放异常的问题,堆栈如下: [ 1000.691858] BUG: Bad page state in process server.o pfn:309d22 [ mapcoun ...

随机推荐

  1. 自建AXI4的IP核的地址问题

    自建AXI4的IP核的地址问题 1.问题概述 在AXI4中,对应的操作通过对对应的寄存器设置来完成.其中的寄存器又分为数据寄存器和地址寄存器.其中,如果只是想要操作数据的话,只需要使用数据寄存器即可. ...

  2. KingbaseES V8R3数据库运维案例之---不完整的启动包(incomplete startup packet)复现

    案例说明: 在KingbaseES V8R3数据库的sys_log日志中,出现以下故障信息"不完整的启动包(incomplete startup packet)"日志信息.本案例复 ...

  3. Unicode编码解码的全面介绍

    1. Unicode的起源和发展 Unicode是一个国际标准,旨在统一世界上所有文字的表示方式.它最初由Unicode协会创立,解决了不同字符集之间的兼容性问题.Unicode的发展经历了多个版本, ...

  4. 国民经济行业分类与代码(GB/T 4754-2017、GB/T 4754-2011、GB/T 4754-2002)数据下载

    2002_2011_2017国民经济行业分类与代码mysql数据四级分类文件.rar 内容:其中包含2002.2011.2017三年国民经济行业分类和代码的MySQL文件,每一个表的格式如下:例如第一 ...

  5. Python爬虫爬取1905电影网视频电影并存储到mysql数据库

    数据获取方式:微信搜索关注[靠谱杨阅读人生]回复[电影].整理不易,资源付费,谢谢支持! 代码: 1 import time 2 import traceback 3 import requests ...

  6. Jetpack Compose(4)——重组

    目录 一.状态变化 1.1 状态变化是什么 1.2 mutableStateListOf 和 mutableStateMapOf 二.重组的特性 2.1 Composable 重组是智能的 2.2 C ...

  7. #莫比乌斯反演#BZOJ 2694 LCM

    题目 多组询问求 \[\sum_{i=1}^n\sum_{j=1}^m{|\mu(\gcd(i,j))|*lcm(i,j)}\pmod {2^{30}} \] \(T\leq 10^4,n,m\leq ...

  8. #二分,哈希 or dp#洛谷 4398 [JSOI2008]Blue Mary的战役地图

    题目 求两个正方形矩阵的最大公共正方形矩阵边长 分析 第一种就是\(dp\): 设\(dp[x1][y1][x2][y2]\)表示第一个正方形矩阵以\((x1,y1)\)为右下角, 第二个正方形矩阵以 ...

  9. #bitset优化,莫队#洛谷 5355 [Ynoi2017] 由乃的玉米田

    没有除法的版本 弱化版Blog 题目 分析 只针对除法而言,如果商很大直接用bitset判断是否存在, 否则直接预处理最近的答案判断是否在区间内即可,注意0要特判 代码 #include <cs ...

  10. #树状数组#洛谷 4113 [HEOI2012]采花

    题目 分析 与HH的项链类似 离线处理询问,按右端点排序,维护最近的颜色和第二近的颜色,修改以第二近的颜色为准 换句话说,若最近颜色的位置为\(pos2\),第二近颜色的位置为\(pos1\) 加入一 ...