Atacado el servidor de procesos

Others 2020-04-05 02:17:55 views: null

1, el servidor fue atacado hoja de ruta en general

(1) de corte fuera de la red

(2) Encontrar una fuente del ataque

Mediante el análisis del registro del sistema y el registro de entrada, buscar información sospechosa. Al observar los sistemas abiertos los puertos, que se ejecuta el proceso, que es el análisis de los programas sospechosos.

(3) el análisis de las causas y formas invasión

(4) una copia de seguridad de datos de usuario

(5) Vuelva a instalar el sistema

(6) FIX o del sistema vulnerabilidades

(7) conectado a la red y los datos de recuperación

2, el proceso de

(1) El usuario del sistema de inspección sospechosa

Utilice w comando para ver el aterrizaje del sistema del usuario, se puede ver el nombre de usuario y la dirección de inicio de sesión

[root @ maestro ~ ] # w
  06 : 41 : 21 hasta   8 : 17 ,   7 usuarios, carga media: 0,00 , 0,01 , 0,04 
USUARIO TTY DE LOGIN @ PCPU JCPU IDLE QUÉ 
raíz pts / 3     10.0 . 0,1          03 : 21     2 : 58m   0 .07s   0 .07s - golpe 
pts raíz / 4     10.0 . 0,1          04 : 40     2 : 00m  0 .03s   0 .03s - fiesta 
pts USER01 / 5     10.0 . 0.1          06 : 37     3 : 26    0 .02s   0 .02s - golpe 
pts USER03 / 6     10.0 . 0,1          06 : 38     2 : 33    0 .03s   0 .00s menos -s

(2) usuarios sospechosos de bloqueo

ataque general, habrá algunos usuarios inician sesión en el sistema en sí no se puede iniciar sesión en el sistema. Una vez que un usuario que necesita para realizar las siguientes operaciones:

Desactivado / bloqueado proceso de inicio de sesión de usuario
 1. , El comando usermod 
   la usermod - L nombre de usuario bloquear el usuario 
   la usermod - la U-nombre de usuario de desbloqueo
 2 , el comando passwd 
   el passwd - L nombre de usuario bloquear el usuario 
   la passwd - U usuario de desbloqueo
 3 , modificar tipo shell del usuario / sbin / nologin (/ etc / modificación del archivo passwd)
 4 , crear un archivo vacío en / etc / bajo nologin, bloqueando de este modo todos los usuarios excepto para el root

(3) Ver la conexión del usuario a través último comando

[Root @ amo ~] # última

Fuentes de este comando es / var / log / wtmp, el archivo es un archivo binario que puede ser vista por el comando que se

[root @ amo ~] # que -u / var / log / wtmp 

pts raíz / 4         2020 - 04 - 04  04 : 40  03 : 32        20 628 ( 10.0 . 0.1 ) 
pts raíz / 0         2020 - 04 - 04  06 : 08    .         24900 ( 10.0 . 0.1 ) 
pts raíz / 1         2020 - 04 - 04  06 :36  00 : 35        26 282 ( 10,0 . 0.1 ) 
pts USER01 / 5         2020 - 04 - 04  06 : 37    ?         26.416 ( 10.0 . 0.1 ) 
pts USER03 / 6         2020 - 04 - 04  06 : 38  01 : 34        26 485 ( 10,0 . 0.1 )

(4) ver el registro de sistema de

/ var / log / messages y / var / log / secure, estos dos archivos y registros del estado de funcionamiento del estado de inicio de sesión remota de usuario del software.

Además, también se puede ver .bash_history en el directorio inicial de cada usuario, y la raíz de .bash_history

(5) Compruebe el sistema puede procesar

ef ver el proceso a través del PS, después de obtener el pid, por el comando lsof para ver los archivos abiertos y puertos

[Root @ Master ~] # lsof - el p-PID 

también puede utilizar el comando pidof 

[root @ Master ~ ] # pidof sshd
 26497  26485  26278  24896  854

Puede consultar la información de archivos y servicios de exe identificadores de archivos abiertos

[root @ amo ~] # ls -l / proc / 26485 / exe 
lrwxrwxrwx. 1 root 0 Abr   4  06 : 38 / proc / 26485 / exe -> / usr / sbin / sshd 
[root @ amo ~] # ls -l / proc / 26485 / fd 
total de 0 
LR -x ------ . 1 root 64 Abr   4  06 : 38  0 -> / dev / nula 
lrwx ------. 1 raíz de raíz 64 abr   4  06 : 38 1 -> / dev / nula 
lrwx ------. 1 raíz de raíz 64 abr   4  06 : 38  2 -> / dev / nulo 
lrwx ------. 1 raíz de raíz 64 abr   4  06 : 38  3 -> socket: [ 70285 ] 
lrwx ------. 1 raíz de raíz 64 abr   4  06 : 38  4 -> socket: [ 69484 ] 
lrwx ------. 1 raíz de raíz 64Abr   4  06 : 38  5 -> / dev / ptmx 
l WX ------. 1 root 64 Abr   4  07 : 24  6 -> / run / systemd / sesiones / 17 . Ref 
lrwx ------. 1 raíz de raíz 64 abr   4  07 : 24  7 -> socket: [ 69488 ]

(6) Compruebe la red

En circunstancias normales, no debe trabajar en la tarjeta de red en modo promiscuo, de lo contrario puede haber sniffer

[Root @ amo ~] # ip l | grep promisc

(7) La puerta trasera sistema de inspección

[root @ amo ~] # cat / etc / crontab 
[root @ amo ~] # ls / var / spool / cron / 
[root @ amo ~] # cat /etc/rc.d/ rc.local 
[root @ amo ~ ] # ls / etc / rc.d 
[root @ amo ~] # ls /etc/rc3.d

(8) A veces se cambia el archivo binario ejecutable del sistema, es necesario utilizar herramientas de terceros para detectar

Por ejemplo rkhunter herramientas, consulte  https://www.cnblogs.com/zh-dream/p/12635523.html

comprobación de integridad del sistema (9) de archivos

[root @ amo ~] # rpm - Va 
S. 5 .... T. c / etc / sysconfig / authconfig 
.. 5 .... T. c / etc / ssh / ssh_config 
.M ....... g / etc / pki / ca-confianza / extraído / java / cacerts 
.M ....... g / etc / pki / ca-confianza / Extraídas / openssl / ca- bundle.trust.crt 
.M ....... g / etc / pki / ca-confianza / extraído / pem / email-ca- bundle.pem 
.M ....... g / etc / pki / ca-confianza / extraído / pem / objsign-ca- bundle.pem 
.M ....... g / etc / pki / ca-confianza / extraído / pem / TLS-ca- haz. pem 
....... T. c / etc / selinux / targeted / contextos / customizable_types 
S.5 .... T. c / etc / bashrc 
S. 5 .... T. c / etc / sudoers 
S. 5 .... T. c / etc / tema 
S. 5 .... T. c / etc / issue.net 
S. 5 .... T. c / etc / yum / vars / ContentDir 
.M ....... g / boot / initramfs- 3,10 . 0 - 862 .el7.x86_64.img 
S. 5 .... T. c / etc / ssh / sshd_config 
.... L .... c /etc/pam.d/fingerprint- auth 
.... L .... c /etc/pam.d/password- auth 
... .L .... c /etc/pam.d/ PostLogin
C L .... .... /etc/pam.d/smartcard- la auth 
.... L .... C /etc/pam.d/system- la auth 
....... T. C / etc / la named.conf 
S. 5 .... T C / etc /. la yum.conf 

cada etiqueta siguientes significados: 
S representa la longitud del documento ha cambiado 
M representa un acceso de archivo o tipo de archivo ha cambiado 
5     representa MD5 cambió y 
D representa las propiedades del nodo del dispositivo cambia 
el archivo de enlace simbólico L representa un cambio 
T representan archivos, subdirectorios, el nodo propietario del dispositivo cambia 
G representan archivos, subdirectorios, grupo nodo de dispositivo cambiado 
T representa el archivo fue cambiado por última vez modificado

Si no parece la bandera de "M", que indica el archivo correspondiente puede ser sustituido o alterado, es necesario desinstalar el paquete RPM reinstalado en el ensayo.

invasión común

1 ) servidor se ejecute sin ancho de banda será alto esta es una característica de la toxicidad. 
Debido a que el servidor después de la intoxicación fueron tomados de la utilización de otros, es común Empeñado ataque de pollos de engorde otros; Por otra parte, es tomar sus datos y similares. 
Por lo que el ancho de banda del servidor necesita una atención especial, el ancho de banda es alta si el servidor se está acabando, es ciertamente algunas excepciones, la necesidad de verificación oportuna! 

2 ) el sistema generará los usuarios desconocidos adicional 
intoxicación o después de la invasión hará que el sistema produce algún usuario o registro desconocida de aterrizaje, por lo que este control también puede ver algunos de los anormales. 

3 ) la bota es comenzar alguna tarea crond servicio desconocido y si hay alguna misión desconocida? 
Debido a que el envenenamiento puede comenzar con la activación del sistema, por lo general es el arranque, verificación si desea iniciar el servicio, o solicitar una excepción, normalmente se visualiza /etc/rc.local y crondtab -l

 

Supongo que te gusta

Origin www.cnblogs.com/zh-dream/p/12635567.html
Recomendado
Clasificación
Diario
Más
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)

Code World

© 2018 codetd.com