、Linuxの可能性侵略と表現
1、違法なアウトリーチの帯域幅があります
図2に示すように、異常なプロセスまたは異常なポートがあります
3、CPU、メモリアラーム
4、サーバーは正常に接続できません
5、珍しいと異常なアカウントのログイン
6、サイトがトロイの木馬に注入した、ウェブシェル
調査の第二に、アイデア
予備判定ハッカーパス:まず情報を決定
1、サーバが外部のビジネスを持っています
2、アプリケーションサーバは、何を展開します
3、パスワード組成物は、アプリケーションを展開します
異なる外観をトラブルシューティングするためにさまざまな方法やコマンドを使用して::予備調査
それは代わりに、システムコマンドのインストールbusyboxの改ざんされた場合は1を、コマンドシステムは、改ざんされている、ダウンロードアドレス:https://github.com/mirror/busybox
2、ログインレコード、コマンド履歴、異常なアカウントをチェック
最後のログイン履歴を見ます
エグゼクティブの生産システムのルートを参照するには歴史
各アカウントの/ homeディレクトリの下の.bash_history開き、ビューのアカウント履歴通常のコマンド
異常なアカウントがある場合は、猫/ etc / passwdファイルを参照
3、ファイル作成時に注意を払う、異常な異常なアウトリーチのプロセスやドキュメントを参照してください。
上面図は、メモリとCPUの高いPIDを取ります
psのメモリとCPUの上位指令位置と実際のPIDを取る見て-aux
netstatコマンドは、不審なアウトリーチのIP、ポート、PIDを参照してください-anplt
LSは-l / procの/ PID / exeファイル歩留まりを、対応するファイルのパスを参照してください
lsofは-p PID PIDファイルを開くには、対応するプログラムを見つけます
LS -l /etc/init.dのビューのスタートアップ項目
pkillはpidのプロセスを強制終了
プロセスのプロセスツリーのpstreeは-h PID -p -aビュー
4、スケジュールされたタスクと密接なログインを避けます
不審なスケジュールされたタスクをチェックするためのcrontab -l
そこにある秘密鍵攻撃者は、LS -l /etc/.sshをアップロード
5、最近変更されたファイルを表示
見つける/ -type F -atime -7 / 7 / + 7 7日/ 7日/ 7日前まで
6、ファイルを削除します
たlsattrビューLinuxのファイルには、特別な権限を(rootユーザーがファイルを削除するには不十分なアクセス許可を見つけた)持っています
chattrは-aiファイルを削除し、私は許可を取得する必要があります
7、ログ解析
グローバルな情報を含むは/ var / log /メッセージ
/var/log/auth.logシステムは、ユーザのログインおよびアクセス許可の機構使用、等を含む認証情報を、含ま
ログは/ var / log /ユーザ・ログユーザー情報は、すべてのグレードを記録します
crontabコマンドが正しく実行されているかどうかの/ varは/ログ/ cronのレコード
/var/log/xferlog(vsftpd.log)LinuxのFTPログを記録
/ var / log / lastlogのレコードは、ログオンしたユーザーは、コマンドlastlogのビューを使用することができます
/ヴァール/、ほとんどのアプリケーションで入力アカウントとパスワードの入力/セキュア記録をログ成功にログイン
最後のコマンドと同等のは/ var / log / wtmpのレコードログ成功したアカウント情報、
失敗したログインするためには/ var / log / faillog記録アカウント情報、一般的にハッカーによって削除されます
8、ツール
ダウンロードサイトを殺すchkrootkitのルートキット:http://www.chkrootkit.org
ダウンロードサイトを殺すrkhunterのルートキット:http://rkhunter.sourceforge.net/
ClamAVのウイルススキャンダウンロードサイト: http://www.clamav.net/download.html
ウェブシェルの殺害は、良い方法ではありませんサイトはDシールドでローカルディレクトリのスキャンにダウンロードされた疑いがあります