欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

服务器被入侵了怎么办 rkhunter的简单安装及检测后门

来源:本站转载 作者:佚名 时间:2013-10-29 TAG:linux安全 我要投稿

 被入侵了,查看了下/var/log/messages和last都已经清理。

 
sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址 ---》邮件来报警
 
一、接着查看 host.allow 里面设置,禁止某个可疑ip的访问
 
二、用rkhunter扫下,是否存在rootkit恶意程序。
http://linux.vbird.org/linux_security/0420rkhunter.php
鸟哥讲的rkhunter
rkhunter的安装:
1.下载地址:http://www.rootkit.nl/projects/rootkit_hunter.html
2.配置安装
To perform a default installation of RKH simply unpack the tarball and,
as root, run the installation script:
 
tar zxf rkhunter-<version>.tar.gz
cd rkhunter-<version>
./installer.sh --install
 
Note: If some form of file permission error is shown, then check that the
'installer.sh' script is executable.
3.简单安装后,就可以进行检测后门
rkhunter --help 查看选项
--checkall (-c) :全系統檢測,rkhunter 的所有檢測項目
 
rkhunter --check
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
 
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
在第一部份的檢測當中,主要的工作就是在檢驗一些系統重要的 binary files,# 這些檔案就是常被 root kit 程式包攻擊的範圍!所以首先就得要檢測他們啊!# 接下來進行第二部分的檢測!
 
第二部分就是在檢測常見的 rootkit 程式包所造成的系統傷害!# 這部分的檢測當然就是針對各個常見的 rootkit 攻擊的檔案/目錄來偵測囉!# 接下來是第三部分的檢測!
 
 
这是最后检测的汇总信息
三、检测后,如果哪个服务被设置了后门,则要将其卸载并删除相关文件及文件夹,然后重新安装。
四、接着查看bashrc 文件有没有异常情况。
五、查看网络连接有没有异常
六、查看重要目录(比如/etc)下有没有新创建的文件及目录
find /etc -cmin -10
七、防止攻击被反弹
 
首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!
 
看看你网站是以apache 还是noboday权限运行。 设置setfacl !比如是apache。那么我们就setfack –m u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是php的反弹脚本我还真没遇见过,有遇见的求给!!
 
其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!
 
由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl
 
至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事!
【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载