本文介绍了在Linux系统遭受入侵后如何进行应急响应,包括查询特权用户、检查远程登录账户、审查sudo权限、删除或锁定可疑账号、监控系统信息、检查异常端口、分析进程和日志等,以及使用D盾和河马查杀等工具排查WebShell后门。
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统, 而创建系统账号是一种比较常见的后门方式。
查询特权用户特权用户(uid 为0)
awk -F: '$3==0{print $1}' /etc/passwd
查找远程可以登录的账户
awk '/\$1|\$5|\$6/{print $1}' /etc/shadow
-
$1:MD5(长度 22个字符)
-
$5:SHA-256(长度 43 个字符)
-
$6:SHA-512(长度86 个字符)
检查sudo权限
cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL"
删除或锁定账号
通过上面的步骤可以找到可疑的账号
usermod -L rooot #禁用帐号,帐号无法登录
userdel rooot #删除user用户
userdel -r rooot #将删除root用户,并且将/home目录下的root目录一并删除
查看当前登录系统的信息
who #查看当前登录用户(tty本地登陆 pts远程登录)
w #查看系统信息,想知道某一时刻用户的行为
uptime #查看登陆多久、多少用户,负载
检查异常端口
使用netstat 网络连接命令,分析可疑端口、IP、PID等信息。
netstat -tunlp | less
抓包分析
tcpdump -c 10 -q #精简模式显示 10个包<
最低0.47元/天 解锁文章
扫一扫
3687
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
