系统安全加固-Linux系统中木马排查方法

线上服务器中招木马是非常常见的一类安全问题,再遇到问题时,不要慌,先止损再排查,事后也要多总结,下面介绍一个个人具体的排查及防护方法

故障描述:
如果需要服务器数据进行备份,避免因为攻击影响导致备份异常,可以参考阿里云脚本(重启实效),终端对外某些端口访问(或者直接断外网,用VNC操作)
Window2008的批处理文件下载地址:http://oss.aliyuncs.com/aliyunecs/windows2008_drop_port.bat
Linux系统脚本:http://oss.aliyuncs.com/aliyunecs/linux_drop_port.sh

  iptables -I OUTPUT 1 -p tcp -m multiport --dport 21,22,23,25,53,80,135,139,443,445 -j DROP
  iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186 -j DROP
  iptables -I OUTPUT 3 -p udp -j DROP

以下是处理过程:
步骤1:登录痕迹

1. 查看登录成功的IP:grep -i accept /var/log/secure* -n | grep -v 116.213.168.211
2. 查看登录失败的用户信息:lastb | awk {'print $1'} | sort -r |uniq -c | sort -rn
3. 查看账户登录信息:lastlog/last
4. 查看免密码登录authorized_key:stat /root/.ssh/authorized_keys,看时间创建和修改时间,然后cat看内容

步骤2:检查账户,包括:异常账户、新用户、特权账户、空口令账户

1. 查看配置文件修改时间:stat /etc/passwd
2. 查看是否有异常的系统用户:cat /etc/passwd 或 grep 'bash' /etc/passwd --color
3. 查看是否产生了新用户,UID和GID为0的用户:grep '0' /etc/passwd
4. 查看passwd的修改时间,判断是否在不知的情况下添加用户:ls -l /etc/passwd
    1. file file_name
    2. stat file_name
    3. lsattr file_name
    4. ll -a file_name
5. 查看是否存在特权用户:awk -F:  '$3==0 {print $1}' /etc/passwd
6. 查看是否存在空口令帐户:awk -F:  'length($2)==0 {print $1}' /etc/shadow

步骤3:检查进程

1.  以进程树方式查看:ps -auxf 

2.  查看当前用户的进程(检查是否有伪造进程):ps -ef | grep vps

3.  守护进程检查(inetd)

4.  1.  ps -aef | grep inetd

    2.  1.  输出了inetd –s /tmp/.xxx之类的进程,多数.xxx为后门进程

        2.  kill –9 pid 开杀死该进程

        3.  find / -name 程序名 -print   #如果kill掉自动运行,则执行查找命令,找到所在目录

    3.  cat /etc/inetd.conf | grep -v "^#"

    4.  1.  输出的信息就是这台机器所开启的远程服务。

        2.  CentOS:xinetd.conf

        3.  Ubuntu:inetd.conf

        4.  [http://blog.csdn.net/d_0xff/article/details/51521075](http://blog.csdn.net/d_0xff/article/details/51521075)

5.  查看该进程所打开的端口和文件:lsof -p pid

6.  隐藏进程

7.  1.  ps -ef | awk '{print $2}' | sort -n | uniq > 1

    2.  ls /proc | sort -n | uniq > 2

    3.  diff 1 2

步骤4:查看history找操作痕迹

more .bash_history

步骤5:查找后门/异常文件: ls -alt

1. find / -uid 0 -perm -400 -print | less
2. find / -size +1000k -print | less
3. find / -name "..." -print | less
4. find / -name ".." -print | less
5. find / -name "." -print | less
6. find / -name "" -print | less

步骤6:检查系统守护进程

cat /etc/inetd.conf | grep -v "^#"

步骤7:检查RPM的完整性

1. rpm -Va
2. rpm –qf /bin/ls
3. rpm -qf /bin/login
4. md5sum –b 文件名
5. md5sum –t 文件名
#注意相关的/sbin,/bin,/usr/sbin,/usr/bin

步骤8:检查网络

1. ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)
2. lsof -i
3. netstat -nap(察看不正常打开的TCP/UDP端口)  --> 查找非常规端口
4. netstat -rn
5. arp -a

步骤9:检查端口监听

1. 输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。
2. 输入netstat –rn,查看本机的路由、网关设置是否正确。
3. 输入 ifconfig –a,查看网卡设置。

步骤10:检查定时任务

1. cat /etc/crontab
2. crontab -e

步骤11:检查后门

1. cat /etc/crontab
2. ls /var/spool/cron/
3. cat /etc/rc.d/rc.local
4. ls /etc/rc.d
5. ls /etc/rc3.d
6. find / -type f -perm 4000

步骤12:检查文件系统中的Core文件

find / -name core -exec ls -l {} \;

步骤13:检查系统服务

1. chkconfig --list
2. rpcinfo -p

步骤14:检查rootkit后门

chkrootkit -q

步骤15:检查后门文件

1. find / -name ".forward" -print
2. find / -name ".rhost" -print
3. 在某用户的$HOME下,.rhosts文件中仅包含两个+号是非常危险的,如果你的系统上开了513端口(rlogin端口,和telnet作用相同),那么任意是谁都可以用这个用户登录到你的系统上而不需要任何验证。

步骤16:文件权限检查

1. 查找系统中任何用户都拥有写入权限的文件或者目录,并保存在文件中用于检查
    1. find  /  -type f -perm -2 -o -perm -20 > /tmp/wmodfiles.txt 2>/dev/null
    2. find  /  -type d -perm -2 -o -perm -20 > /tmp/wmoddir.txt 2>/dev/null
2. 查找系统中没有属主的文件,这种无属主的文件对于系统的安全也能造成一定的威胁,有时候也会成为入侵者的工具,建议发现之后,要么修改其属主信息,要么删除,以免后患。
    1. find / -nouser -o -nogroup > /tmp/orphan.txt 2>/dev/null
3. 查找系统中含有 S 位文件,S位权限的程序对系统的威胁很大,可以把某些没必要使用 S 位权限的应用程序去掉,以防用户权限的滥用。
    1. find / -type f -perm -4000 -o -perm -2000 > /tmp/smod.txt 2>/dev/null
    2. 如果查到一个文件-rwsr-xr-x 1 root root xxx .sh,则表明任何用户进来以后运行这个文件都可以获得一个rootshell,这就是setuid文件

步骤17:杀毒 推荐ClamAV

上面就讲完了如何排查木马。当系统被植入木马后,第一操作就是止损,最好在断网情况下进行排查。一旦系统中了木马,当前系统排查中招方式后,一定要重装系统,然后针对中招方式,进行加固,切记,当前不可再使用!!

———————————————— 防 护 ————————————————

下面讲下规避方法
系统外层规避:

1. 安全组是一种虚拟防火墙(云服务器都有具备),具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。安全组规则可以允许或者禁止与安全组相关联的云服务器 ECS 实>例的公网和内网的入出方向的访问
2. 云盾可以防护SYN Flood,UDP Flood,ACK Flood,ICMP Flood,DNS Flood,CC攻击等3到7层DDoS的攻击。DDoS基础防护免费为阿里云用户提供最高5G的默认DDoS防护能力。
3. Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击,避免您的网>站资产数据泄露,保障网站的安全与可用性

系统内层规避

1.  设置iptables,添加ACL规则

2.  使用强密码

3.  关闭不需要的端口,并及时安装应用补丁

4.  安全防护软件:fail2ban、hostdeny

5.  文件权限加固:这块阿里云写的非常好,可以参见连接[https://help.aliyun.com/knowledge_detail/41217.html?spm=5176.7841174.2.7.iqoxda](https://help.aliyun.com/knowledge_detail/41217.html?spm=5176.7841174.2.7.iqoxda)

系统自身规避,主要借助于云平台的快照和镜像功能,数据无价,防患于未然

1. 设置定时快照(系统快照和数据盘快照)
2. 定期做镜像
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,444评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,421评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,363评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,460评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,502评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,511评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,280评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,736评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,014评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,190评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,848评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,531评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,159评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,411评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,067评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,078评论 2 352