欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Linux系统安全危急反应知识探讨

来源:本站整理 作者:佚名 时间:2017-09-26 TAG: 我要投稿
而后看一下/etc/anacrontab的内容
[root@localhost /]# cat /etc/anacrontab
# /etc/anacrontab: configuration file for anacron
# See anacron(8) and anacrontab(5) for details.
SHELL=/bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
# the maximal random delay added to the base delay of the jobs
RANDOM_DELAY=45
# the jobs will be started during the following hours only
START_HOURS_RANGE=3-22
#period in days   delay in minutes   job-identifier   co妹妹and
1    5    cron.daily        nice run-parts /etc/cron.daily
7    25    cron.weekly        nice run-parts /etc/cron.weekly
@monthly 45    cron.monthly        nice run-parts /etc/cron.monthly
这里多了两条设置装备摆设

RANDOM_DELAY=45
表现准时触发后随机提早45分钟之内的光阴再启动利用

START_HOURS_RANGE=3-22
表现法式在3时至22时之间会启动
看到这里咱们就明确了在CeontOS6 外面,crond会反省/etc/cron.d外面的设置装备摆设,外面有一个0hourly文件,每小时去运转一次/etc/cron.hourly目次,该目次下面有一个0anacron文件,如许0anacron文件就可以每小时运转一次,这里实在运行的是/usr/sbin/anacron -s。anacron读取设置装备摆设文件/etc/anacrontab,将以后光阴与/var/spool/anacron目次下面的文件外面的光阴戳作比较,假如必要则去运转/etc/anacrontab对应的条款。
总结:
应急响应中对于准时义务应当排查的/etc/crontab,/etc/cron.d,/var/spool/cron/{user},而后顺藤摸瓜去看其余挪用的目次/etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly,/etc/anacrontab 。
此中轻易疏忽的便是/etc/anacrontab
在CentOS6下咱们做个测试:
编纂/etc/anacrontab
改动RANDOM_DELAY=1
增长1       1       cron.test               echo 1 >> /tmp/1.txt

[root@localhost cron.weekly]# /usr/sbin/anacron -s
期待一分多钟后,可以或许看到
[root@localhost cron.weekly]# cat /var/spool/anacron/cron.test
20170719
[root@localhost cron.weekly]# cat /tmp/1.txt

0x09 Rootkit
反省敕令调换
1)体系完整性可以或许经由过程rpm自带的-Va来校验反省一切的rpm软件包,有哪些被窜改了,防止rpm也被调换,上传一个网安清洁稳固版本rpm二进制到办事器上结束反省。
比方我调换一下/bin/ps,而后利用rpm -qaV反省
[root@vincenthostname tmp]# rpm -qaV
S.?....T. /bin/ps
2)比对敕令的巨细
比方失常的ps和netstat巨细
[root@vincent tmp]# ll /bin/ps
-rwxr-xr-x 1 root root 87112 11月 15 2012 /bin/ps
[root@vincent tmp]# ll /bin/netstat
-rwxr-xr-x 1 root root 128216 5月 10 2012 /bin/netstat
下面是此中有一次应急时的记载
[root@DataNode110 admin]# ls -alt /bin/ | head -n 10
total 10836
-rwxr-xr-x 1 root root 625633 Aug 17 16:26 tawlqkazpu
dr-xr-xr-x. 2 root root 4096 Aug 17 16:26 .
-rwxr-xr-x 1 root root 1223123 Aug 17 11:30 ps
-rwxr-xr-x 1 root root 1223123 Aug 17 11:30 netstat
可以或许看到ps和netstat是同样大的。
3)反省敕令的改动光阴,按改动光阴排序

ls -alt /bin/ | head -n 5
4)利用chkrootkit和rkhunter反省
chkrootkit
1、筹备gcc编译情况
对付CentOS体系,运行下述三条敕令:

> yum -y install gcc gcc-c++ make glibc*
2、下载chkrootkit源码
chkrootkit的民间网站为 http://www.chkrootkit.org ,下述下载地点为民间地点。为了网安起见,务必在民间下载此法式:

> [root@www ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3、解压下载返来的装置包

> [root@www ~]# tar zxf chkrootkit.tar.gz
4、编译装置(后文敕令中呈现的“*”无需调换成详细字符,原样复制运行便可)
>[root@www ~]# cd chkrootkit-*
>
>[root@www ~]# make sense
把稳,下面的编译敕令为make sense。
5、把编译好的文件安排到/usr/local/目次中,并删除遗留的文件
>[root@www ~]# cd ..
>[root@www ~]# cp -r chkrootkit- /usr/local/chkrootkit
>[root@www ~]# rm -r chkrootkit-
至此,装置终了。
利用方法
装置好的chkrootkit法式位于 /usr/local/chkrootkit/chkrootkit
间接运行

> root@vm:~# /usr/local/chkrootkit/chkrootkit
rkhunter
在装置了kbeast的体系上测试,发明检测后果不如rkhunter好。
下载地点: http://sourceforge.net/projects/rkhunter/files/
1)装置
tar -xvf rkhunter-1.4.0.tar.gz
cd rkhunter-1.4.0
./installer.sh –install
在装置了kbeast的体系上测试,可以或许胜利检测到。
/usr/local/bin/rkhunter –check -sk
[19:50:27] Rootkit checks…
[19:50:27] Rootkits checked : 389
[19:50:27] Possible rootkits: 1
[19:50:27] Rootkit names : KBeast Rootkit
2)在线进级
rkhunter是经由过程一个含有rootkit名字的数据库来检测体系的rootkits漏洞破绽bug, 以是常常更新该数据库异常紧张, 你可以或许经由过程下面敕令来更新该数据库:
运行敕令:

> rkhunter –update
3)检测最新版本

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载