欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Linux系统安全危急反应知识探讨

来源:本站整理 作者:佚名 时间:2017-09-26 TAG: 我要投稿

一、前记
无论是甲方照样乙方的同窗,应急响应可以或许都是屡见不鲜,你可以或许常常收到如下反应:
运维共事 --> 办事器上存在可疑过程,体系资本占用高;
收集共事 --> 监控发明某台办事器对外大批发包;
....
不要发急,喝一杯82年的美年达压压惊,盼望本文可以或许对你有所赞助。
二、排查流程
0x01 Web办事
同样平常假如收集界限做好节制,平日对外开放的仅是Web办事,那末必要先找到Webshell,可以或许经由过程如下道路:
1)反省近来创立的php、jsp文件和上传目次
比方要查找24小时内被改动的JSP文件:

> find ./ -mtime 0 -name "*.jsp"
2)利用Webshell查杀对象
   Windows下D盾等,Linux下河马等。
3)与测试情况目次做比较
> diff -r {临盆dir} {测试dir}
4)创立Audit审计规矩
vim /etc/audit/audit.rules
-a exclude,always -F msgtype=CONFIG_CHANGE
-a exit,always -F arch=b64 -F uid=48 -S execve -k webshell
发生日记如下:
type=SYSCALL msg=audit(1505888691.301:898615): arch=c000003e syscall=59 success=yes exit=0 a0=ca5188 a1=cb5ec8 a2=cb5008 a3=8 items=2 ppid=26159 pid=26160 auid=0 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=120028 co妹妹="ls" exe="/bin/ls" subj=unconfined_u:system_r:httpd_t:s0 key="webshell"
type=EXECVE msg=audit(1505888691.301:898615): argc=1 a0="ls"
type=CWD msg=audit(1505888691.301:898615): cwd="/var/www/html/dvwa"
type=PATH msg=audit(1505888691.301:898615): item=0 name="/bin/ls" inode=2359385 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 nametype=NORMAL
type=PATH msg=audit(1505888691.301:898615): item=1 name=(null) inode=1441842 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 nametype=NORMAL
可以或许看到地点目次为/var/www/html/dvwa
详细Auditd的利用如下:
Auditd办事先容
Auditd办事是Linux自带的审计体系,用来记载审计信息,从网安的角度可以或许用于对体系网安变乱的监控。
Auditd办事的设置装备摆设文件位于/etc/audit/audit.rules,此中每一个规矩和察看器必需零丁在一行中。语法如下:

-a ,
设置装备摆设如下:
task
每一个义务的列表。只要当创立义务时才利用。只要在创立时就已知的字段(好比UID)才能够用在这个列表中。
entry
体系挪用条款列表。当进入体系挪用肯定能否应创立审计时利用。
exit
体系挪用参加列表。当参加体系挪用以肯定能否应创立审计时利用。
user
用户新闻过滤器列表。内核在将用户空间变乱通报给审计保卫过程以前利用这个列表过滤用户空间变乱。有用的字段只要uid、auid、gid和pid。
exclude
变乱范例消除过滤器列表。用于过滤治理员不想看到的变乱。用msgtype字段指定您不想记载到日记中的新闻。
设置装备摆设如下:
never
不天生审计记载。
always
分派审计上下文,总是把它添补在体系挪用条款中,总是在体系挪用参加时写一个审计记载。假如法式利用了这个体系挪用,则开端一个审计记载。
设置装备摆设如下:
-S
根据称号或数字指定一个体系。要指定一切体系挪用,可利用all作为体系挪用称号。
-F ,
指定一个规矩字段。假如为一个规矩指定了多个字段,则只要一切字段都为真才能启动一个审计记载。每一个规矩都必需用-F启动,至多可以或许指定64个规矩。
罕用的字段如下:
pid
过程ID。
ppid
父过程的过程ID。
uid
用户ID。
gid
组ID。
msgtype
新闻范例号。只利用在消除过滤器列表上。
arch
体系挪用的处置器体系结构。指定准确的体系结构,好比i686(可以或许经由过程uname -m敕令检索)或许指定b32来利用32位体系挪用表,或指定b64来利用64位体系挪用表。
...
编写测试Java敕令监控规矩
Jboss的启动账户为nobody,增长审计规矩
# grep '\-a' /etc/audit/audit.rules
-a exclude,always -F msgtype=CONFIG_CHANGE
-a exit,always -F arch=b32 -F uid=99 -S execve -k webshell
重启办事
# service auditd restart
Stopping auditd: [ OK ]
Starting auditd: [ OK ]
利用webshell测试:
1)菜刀马测试
菜刀马通报的参数为

tom=M&z0=GB2312&z1=-c/bin/sh&z2=cd /;whoami;echo [S];pwd;echo [E]
所运行的法式如下:

else if(Z.equals("M")){String[] c={z1.substring(2),z1.substring(0,2),z2};Process p=Runtime.getRuntime().exec(c);
审计日记如下:

type=EXECVE msg=audit(1500273887.809:7496): argc=3 a0="/bin/sh" a1="-c" a2=6364202F7765622F70726F6A6563742F7A616F6A69617379732E6A69616E73686539392E636F6D2E636563616F707379732F636563616F707379732F3B77686F616D693B6563686F205B535D3B7077643B6563686F205B455D
2)jspspy测试
jspspy通报的参数为

o=shell&type=co妹妹and&co妹妹and=netstat+-antlp&submit=Execute
所运行的法式如下:
String type = request.getParameter("type");
if (type.equals("co妹妹and")) {
ins.get("vs").invoke(request,response,JSession);
out.println("");
out.println("
");
String co妹妹and = request.getParameter("co妹妹and");
if (!Util.isEmpty(co妹妹and)) {
Process pro = Runtime.getRuntime().exec(co妹妹and);
BufferedReader reader = new BufferedReader(new InputStreamReader(pro.getInputStream()));
String s = reader.readLine();

[1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载