Linux服务器入侵检测排查方法( 二 ) _服务器入侵

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` " shopt -s histAppend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########
c）source /etc/profile让配置生效
生成效果： 12018-07-10 19:45:39 192.168.204.1 root source /etc/profile
③历史操作命令的清除：history -c
注：此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。
入侵排查：
进入用户目录下
cat .bash_history >> history.txt
6）查看操作系统用户信息文件/etc/passwd
查找/etc/passwd 文件， /etc/passwd 这个文件是保存着这个 linux 系统所有用户的信息，通过查看这个文件，我们就可以尝试查找有没有攻击者所创建的用户，或者存在异常的用户。我们主要关注的是第 3、4 列的用户标识号和组标识号，和倒数一二列的用户主目录和命令解析程序。一般来说最后一列命令解析程序如果是设置为 nologin 的话，那么表示这个用户是不能登录的，所以可以结合我们上面所说的 bash_history 文件的排查方法。首先在/etc/passwd 中查找命令解释程序不是 nologin 的用户，然后再到这些用户的用户主目录里，找到bash_history ，去查看这个用户有没执行过恶意命令。

文章插图

/etc/passwd 中一行记录对应着一个用户，每行记录又被冒号(:)分隔为 7 个字段，其格式和具体含义如下：
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录 Shell

7）查看新增文件
find：在指定目录下查找文件

例：find ./ -mtime 0 -name "*.php"（查找 24 小时内被修改的 php 文件）

文章插图

find / -ctime 2（查找 72 小时内新增的文件）

文章插图

8）特殊权限的文件查看
查找 777 的权限的文件：find / *.jsp -perm 4777

文章插图

9）隐藏的文件（以 "."开头的具有隐藏属性的文件）
注：在文件分析过程中，手工排查频率较高的命令是 find grep ls 核心目的是为了关联推理出可疑文件；
3、端口、进程排查1）使用netstat 网络连接命令，分析可疑端口、IP、PID
netstat -antlp|more
查看下pid所对应的进程文件路径：运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）
netstat 用于显示与 IP、TCP、UDP 和 ICMP 协议相关的统计数据，一般用于检验本机各端口的网络连接情况。
选项参数:
-a 显示所有连线中的 Socket 。
-n 直接使用 IP 地址，而不通过域名服务器。
-t 显示 TCP 传输协议的连线状况。
-u 显示 UDP 传输协议的连线状况。
-v 显示指令执行过程。
-p 显示正在使用 Socket 的程序识别码和程序名称。
-s 显示网络工作信息统计表。

文章插图

2）根据 netstat 定位出的 pid ，使用 ps 命令，分析进程
-a 代表 all 。同时加上 x 参数会显示没有控制终端的进程
-aux 显示所有包含其他使用者的行程（ps -aux --sort -pcpu | less 根据 cpt 使用率进行排序）
-C 显示某的进程的信息
-axjf 以树形结构显示进程

ps aux | grep pid | grep –v grep