Linux系统是否被植入木马的排查流程梳理
linux生产排查问题常用步骤和指令
linux生产排查问题常用步骤和指令
在Linux生产环境中排查问题,常用的步骤和指令如下:
1. 查看系统日志:首先,通过查看系统日志(如/var/log/messages、/var/log/syslog等)可以了解系统最近的运行情况,有助于定位问题。
2. 查看进程状态:使用ps命令可以查看当前运行的进程,通过grep可以过滤出特定进程。
例如,ps aux | grep [进程名]可以查看特定进程的详细信息。
3. 查看磁盘使用情况:使用df -h命令可以查看磁盘的使用情况,包括每个挂载点的磁盘空间、已用空间、可用空间等。
4. 查看网络状态:使用netstat或ss命令可以查看网络连接状态,包括监听的端口、连接的IP地址等。
5. 查看系统资源使用情况:使用top或htop命令可以实时查看系统资源的使用情况,包括CPU、内存、磁盘等。
6. 查找文件:使用find命令可以在文件系统中搜索文件或目录。
例如,find / -name [文件名]可以在根目录下搜索指定名称的文件。
7. 查看系统版本和配置:使用uname -a命令可以查看操作系统的版本和配置信息。
8. 检查文件权限:使用ls -l命令可以查看文件或目录
的权限信息。
9. 查看系统负载:使用uptime命令可以查看系统的负载情况,包括平均负载和运行时间等。
10. 查找命令:如果忘记了某个命令的名称,可以使用whereis或which命令来查找该命令的位置。
以上是一些常用的步骤和指令,但实际排查问题时可能需要根据具体情况进行组合和调整。
在生产环境中,建议首先了解问题的详细描述和背景信息,然后逐步排查可能的原因和解决方案。
如何在Linux上进行网络安全扫描和漏洞评估
如何在Linux上进行网络安全扫描和漏洞评估近年来,网络安全问题引起了广泛的关注,各类黑客攻击和漏洞事件频频发生,给个人和企业带来了巨大的损失。
为了保护个人和企业的信息安全,进行网络安全扫描和漏洞评估变得至关重要。
在这篇文章中,我们将介绍如何在Linux操作系统上进行网络安全扫描和漏洞评估。
一、准备工作在进行网络安全扫描和漏洞评估之前,我们需要准备一些必要的工具和环境。
1. Linux系统首先,我们需要一台安装了Linux操作系统的机器。
Linux操作系统具有良好的稳定性和安全性,是进行网络安全扫描和漏洞评估的良好选择。
2. 安全扫描工具其次,我们需要选择适合的安全扫描工具。
在Linux上有许多优秀的安全扫描工具可供选择,比如Nmap、OpenVAS等。
3. 网络环境最后,确保您的机器处于一个安全、稳定的网络环境中。
网络环境的不稳定可能导致扫描结果不准确或者产生其他问题。
二、网络安全扫描网络安全扫描是一种发现和识别网络主机的漏洞和安全风险的方法。
下面将介绍如何使用Nmap进行网络安全扫描。
1. 安装Nmap首先,在Linux上安装Nmap工具。
在终端中输入以下命令进行安装:```sudo apt-get install nmap```2. 执行扫描命令安装成功后,我们可以使用以下命令执行一次简单的网络扫描:```nmap -v -sn 192.168.0.0/24```该命令将扫描指定子网中的主机,并显示出在线的主机列表。
3. 高级扫描选项除了简单的网络扫描外,Nmap还提供了许多高级的扫描选项。
比如,可以使用以下命令扫描指定主机的开放端口:```nmap -v -p 1-1000 192.168.0.1```该命令将扫描192.168.0.1主机的1到1000号端口,并列出开放的端口。
三、漏洞评估网络安全扫描只能发现潜在的漏洞和风险,而漏洞评估则对已发现的漏洞进行深入分析和评估。
1. 安装OpenVASOpenVAS是一款开源的漏洞评估工具,可以在Linux上进行安装和使用。
Linux如何查杀pscan2木马
Linux如何查杀pscan2木马pscan2是一个黑客扫描程序,非常损害电脑,所以中了该木马就要及时清除,那么如何使用Linux查找和清除pscan2木马呢?下面由小编为大家搜集的Linu何查杀pscan2木马的方式,希望对大家有用!一、现象AH现场的程序是分布式部署,除了程序的配置文件不同外,并无其他不同。
最近地市sz频繁发生工单处理错误的故障,而其他地市运行一直很稳定。
二、因此,对sz的主机进行了检查,步骤如下:1、重启应用,发现应用的端口3456已经被占用,通过命令lsof-i:3456,发现是用户tel的进程占用了该端口。
2、通过命令ps,发现用户tel的进程熟非常多,但在我们的系统中,并未创建过用户tel。
3、使用top命令,结果如下:top-09:58:54up524days,14:31,4users,loadaverage:3.44,4.98,5.75Tasks:1715total,7running,1699sleeping,0stopped,9zombieCpu(s):23.3%us,12.3%sy,0.0%ni,64.4%id,0.0%wa,0.0%hi,0.0%siMem:4147208ktotal,2740256kused,1406952kfree,23976kbuffersSwap:4079600ktotal,779100kused,3300500kfree,638748kcachedPIDUSERPRNIVIRTRESSHRS%CPU%MEMTIME+COMMAND 24201tel2501468476396R1000.00:58.78pscan224510root17043361916760R40.00:00.30top发现tel用户的进程pscan2,占用CPU资源达到100%,通过网上查找资料,发现pscan2是一个老美的木马,他重要特征是占用CPU非常大。
因此推断:主机被攻破,并被植入木马pscan。
Linux系统安全:纵深防御、安全扫描与入侵检测_札记
《Linux系统安全:纵深防御、安全扫描与入侵检测》阅读笔记目录一、Linux系统安全概述 (2)1.1 Linux系统的重要性 (3)1.2 Linux系统的安全性问题 (4)1.3 Linux系统安全的挑战与对策 (5)二、纵深防御 (7)2.1 多层次防御架构 (9)2.2 入侵检测与防御系统(IDS/IPS) (10)2.3 防火墙与安全策略 (12)2.4 定期更新与补丁管理 (13)2.5 访问控制与权限管理 (14)三、安全扫描 (16)3.1 系统漏洞扫描 (17)3.2 应用程序扫描 (18)3.3 网络安全扫描 (19)3.4 威胁情报与风险分析 (20)四、入侵检测 (22)4.1 入侵检测系统(IDS)的工作原理 (24)4.2 入侵防御系统(IPS)的工作原理 (25)4.3 入侵检测与防御的实时性与准确性 (26)4.4 分布式入侵检测与响应系统 (28)五、案例分析 (29)5.1 某公司Linux系统攻击案例分析 (30)5.2 某企业Linux系统安全漏洞修复案例 (32)六、总结与展望 (33)6.1 本书小结 (34)6.2 Linux系统安全未来发展趋势 (35)一、Linux系统安全概述在信息化时代,随着Linux系统的广泛应用,其安全性问题日益凸显。
Linux系统安全是保障数据安全、网络正常运行的关键环节。
无论是企业还是个人用户,都需要重视Linux系统的安全防护,避免数据泄露、系统被攻击等安全风险。
Linux系统面临的安全威胁主要包括恶意攻击、病毒入侵、漏洞利用等。
恶意攻击者可能通过网络攻击手段获取系统权限,进而窃取数据或破坏系统正常运行。
病毒入侵则可能通过伪装成合法软件,悄无声息地感染用户系统,导致数据损坏或泄露。
软件漏洞也是攻击者常常利用的手段,他们可能利用未修复的漏洞侵入系统。
为了保障Linux系统的安全,我们需要遵循一些基本原则。
最小权限原则,即每个用户和程序只拥有执行其任务所需的最小权限。
如何检查服务器是否被入侵?
如何检查服务器是否被入侵?如何检查服务器是否被入侵,这个不是一句两句能够说得清楚的,因为入侵包括的范围是相当的大的。
单靠自己对服务器的一些手动上的基本分析是有一定难度的。
基本上大的服务器服务提供运营商一般都会有自己的防御体系和完善的日志,这些系统监控和安全日志即使作为安全人员来说全部看懂,也是非常海量的,因此很多时候都是有着自己的防御系统会进行定期分析,并且会有各种风险操作的评估和提示,但是作为网络运维人员和安全管理人员一般的检查思维是通过如下步骤进行的。
一、检查系统的密码文件查看一下passwd文件,尤其是查看passwd当中是否有一些特权用户,一般系统中Uid为0的用户特权权限较高,可能会存在拿到控制权的可能性,但是能到这一步,我觉得这个入侵的黑客也太傻了,居然还给你留个你能看到的账户。
另外还有查看空口令账号,一把这些账号都是用来提升权限用的。
二、就是查看一下进程,看看有没有特殊的进程,最好用进程分析工具来协助分析一般网络运维人员不论是win系统还是linux运维,系统进程是必须要分析的,因为有些木马工具和病毒都会有自己的进程,隐藏比较深的病毒和木马会将自己的线程挂到正常的进程下面,因此要善于应用进程分析工具。
比如inetd进程,需要重点查看,看看是否有用这个进程去启动一些奇怪的程序,一旦有基本上都是被入侵了。
三、检查网络连接和监听端口检查网络连接和对各个监听端口的分析,也是必须要走的程序。
比如:•输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。
•输入netstat –rn,查看本机的路由、网关设置是否正确。
•输入 ifconfig –a,查看网卡设置。
通过查询访问的端口和异常IP地址进行异常分析也是常用的一种手段。
四、检查系统日志查看在正常情况下登录到本机的所有用户的历史记录,通过登录账户的时间和登录用户名可以判断是由于系统自身因鉴权或者其他操作登录,还是人为性质的登录,虽然登录日志比较多,但是也会为入侵分析带来一些辅助性的判断依据。
如何检测 Linux 系统安全漏洞
如何检测 Linux 系统安全漏洞在当今信息时代,网络安全备受人们的关注。
而 Linux 系统由于其安全性好、稳定性高而成为许多企业、机构的首选系统。
但是,就算是 Linux 系统也难免存在一些安全漏洞。
本文将介绍如何检测 Linux 系统的安全漏洞。
一、查看系统补丁系统补丁是一种修补系统漏洞的方式,补丁的安装可以有效的防范与解决一些安全漏洞。
在 Linux 系统中,可以通过命令“yum update” 或“apt-get update” 来检查系统的更新情况。
如果系统中存在可更新的补丁,应及时进行更新。
二、使用安全扫描工具使用安全扫描工具可以快速的检测系统中的安全漏洞,易于管理者及时进行补救。
常用的安全扫描工具有 Nessus、OpenVAS、Nmap 等。
其中, Nessus 是一个较为专业的漏洞扫描工具,可以用于检测网络设备、操作系统以及应用程序等方面的漏洞。
OpenVAS 是一个开放源代码的扫描器,具有简单易用、功能强大等优点。
而Nmap则是一种流行的端口扫描工具,可用于发现主机、服务及开放端口等信息。
三、使用日志监控工具通过日志监控工具,可以收集系统的各种日志信息,包括系统登录、数据传输、网络连接等,了解系统运行情况以及发现安全漏洞。
常用的日志监控工具有 syslog、rsyslog 等。
其中, syslog可以用于收集多个系统的日志信息,并进行统一归档和管理。
rsyslog 则是对syslog 的一种增强版本,具有高效的日志处理能力,可以快速进行大量日志数据的处理。
四、设置防火墙规则防火墙是保护系统安全的一道屏障,可以过滤入侵的网络流量,防止外部攻击。
在 Linux 系统中,常用的防火墙包括 iptables、UFW 等。
通过设置防火墙规则,可以阻止一些不安全的网络流量,提高系统的安全性。
五、监控系统文件文件权限管理是 Linux 系统中的一个重要环节,如果一些系统文件权限设置不当,则有可能造成系统漏洞。
使用Linux进行网络安全扫描和漏洞检测
使用Linux进行网络安全扫描和漏洞检测在当前信息时代,网络安全已经成为企业和个人的首要任务。
为了保护计算机系统、网络和数据的安全,进行网络安全扫描和漏洞检测是非常重要的。
而使用Linux操作系统提供的工具,可以方便地进行网络安全扫描和漏洞检测,以下将介绍一些常用的工具及其使用方法。
一、NmapNmap是一款功能强大的网络扫描器,可以用于发现网络上的主机和开放的端口。
通过检查目标主机的开放端口,可以评估系统的安全性,并发现潜在的漏洞。
以下是使用Nmap进行网络扫描的步骤:1. 打开终端窗口,输入命令“nmap 目标IP地址”进行扫描。
例如,要扫描IP地址为192.168.0.1的主机,可以输入命令“nmap 192.168.0.1”。
2. Nmap将自动扫描目标主机,并显示开放的端口和服务。
同时,根据端口对应的服务推断出目标主机可能存在的漏洞。
二、OpenVASOpenVAS是一套开源的漏洞评估系统,可以帮助用户发现系统中的漏洞,并提供修复建议。
以下是使用OpenVAS进行漏洞检测的步骤:1. 安装OpenVAS。
在Linux系统中,可以使用命令“sudo apt ins tall openvas”安装OpenVAS软件包。
2. 启动OpenVAS。
在终端窗口中,输入命令“openvas-start”启动OpenVAS服务。
3. 打开Web浏览器,输入“https://localhost:9392”访问OpenVAS控制台。
根据提示进行登录。
4. 在控制台中,创建一个新的目标。
输入目标IP地址或IP地址范围,并选择相应的配置选项。
5. 选择漏洞扫描任务,并启动扫描。
OpenVAS将对目标主机进行全面的漏洞检测,并生成检测报告。
三、MetasploitMetasploit是一款广泛使用的渗透测试工具,可以用于测试系统和应用程序的安全性,并寻找潜在的漏洞。
以下是使用Metasploit进行渗透测试的步骤:1. 安装Metasploit。
六招教你检查电脑是否有病毒和木马
六招教你检查电脑是否有病毒和木马一、进程首先排查的就是进程了,方法简单,开机后,什么都不要启动!第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。
PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
二、自启动项目进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
PS:这个需要有一定的经验。
三、网络连接ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到相关网站查询,对应的进程和端口等信息可以到Google或百度查询。
如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。
linux后门寻找初步
linux后门寻找初步后门查找初步1. 帐号后门检查/etc/passwd、/etc/shadow文件中如下帐号是否已经拥有合法登录shell、登录口令bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、games、gopher、ftp、nobody、xfs、named、gdm、sys、nuucp、listen/etc/passwd文件格式如下username : password : uid : gid : comment : home_directory : shell建议对/etc/passwd、/etc/shadow文件做备份,保留在其他主机或可移动介质上,定期对比,检查是否增加了异常帐号。
2. $HOME/.rhosts后门趁系统干净的时候,记录、备份/etc/hosts.equiv和$HOME/.rhosts文件,定期扫描检查是否增加了这类文件以及原有文件内容是否改变3. binary木马后门二进制木马后门是将系统二进制可执行文件替换成特洛伊(trojan)木马文件来达到放置后门的效果。
可能是获取了源代码,修改后重新编译。
或者借助其他技术直接向二进制程序文件中植入代码。
对这类后门检测的第一步是检查时间戳与校验和,假设已经对文件用类似TripWire这类工具作了时间戳与校验和记录。
如果没有使用过TripWire,用"ls -l"和"stat"命令检查时间戳,是否有明显不协调的文件。
如果存在,极可能被替换成特洛伊木马植入后门了,仔细作进一步查证。
对于网络应用程序,运行后用netstat和lsof命令查看是否存在不正常的行为。
尤其是查看有无异常端口被打开,有无异常文件被打开。
作进一步查证时,第一步是用strings命令查找程序中有无异常字符串。
第二步,如有必要,需要将现有二进制代码与确认干净的二进制代码进行比较。
服务器入侵痕迹排查
Windows日志查看windows直接查看事件查看器Win+R 输入eventvwr.msclinux日志路径在/var/log/ 下last -f /var/log/wtmp #查看可以IP登陆cat /var/log/sercure #系统登陆日志及IP历史命令windows获取powershell历史命令存储文件路径(Get-PSReadlineOption).HistorySavePath获取后cat查看即可/命令较多,您可在记事本中打开txt文件进行分析。
linuxcat .bash_history #查看历史执行脚本1、检查系统密码文件首先从明显的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
检查一下passwd文件中有哪些特权用户,系统中uid为0的用户都会被显示出来。
顺便再检查一下系统里有没有空口令帐户:2、查看一下进程,看看有没有奇怪的进程重点查看进程:ps –aef | grep inetdinetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果你看到输出了一个类似inetd –s /tmp/.xxx之类的进程,着重看inetd –s后面的内容。
在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中也仅仅是inetd –s,同样没有用inetd去启动某个特定的文件;如果你使用ps命令看到inetd启动了某个文件,而你自己又没有用inetd启动这个文件,那就说明已经有人入侵了你的系统,并且以root权限起了一个简单的后门。
输入ps –aef 查看输出信息,尤其注意有没有以./xxx开头的进程。
一旦发现异样的进程,经检查为入侵者留下的后门程序,立即运行kill –9 pid 开杀死该进程,然后再运行ps –aef查看该进程是否被杀死;一旦此类进程出现杀死以后又重新启动的现象,则证明系统被人放置了自动启动程序的脚本。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux系统是否被植入木马的排查流程梳理 为保障系统安全需要定期对系统进行安全检查,此文档旨在检查系统里是否存在未知进程及木马和病毒。
一、是否入侵检查
1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志, 比如系统被reboot或登陆情况)
2)检查系统用户 查看是否有异常的系统用户 cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 grep "0" /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户 ls -l /etc/passwd
查看是否存在特权用户 awk -F: '$3==0 {print $1}' /etc/passwd
查看是否存在空口令帐户 awk -F: 'length($2)==0 {print $1}' /etc/shadow 3)检查异常进程 注意UID为0的进程 使用ps -ef命令查看进程
察看该进程所打开的端口和文件 lsof -p pid命令查看
检查隐藏进程 ps -ef | awk '{print }' | sort -n | uniq >1 ls /porc |sort -n|uniq >2 diff 1 2 检查系统守护进程 cat /etc/xinetd.conf | grep -v "^#" #这个进程在centos7以上没有了
4)检查异常系统文件 find / -uid 0 –perm -4000 –print find / -size +10000k –print find / -name "…" –print find / -name ".." –print find / -name "." –print find / -name " " –print
检查系统中的 core 文件 find / -name core -exec ls -l {} \;
5)检查系统文件完整性 rpm –qf /bin/ls rpm -qf /bin/login md5sum –b 文件名 md5sum –t 文件名
6)检查RPM的完整性 [root@bastion-IDC ~]# rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin 输出格式说明: S – File size differs M – Mode differs (permissions) 5 – MD5 sum differs D – Device number mismatch L – readLink path mismatch U – user ownership differs G – group ownership differs T – modification time differs
7)检查网络 ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer) lsof –i netstat –nap(察看不正常打开的TCP/UDP端口) arp –a
8)检查系统计划任务 crontab –u root –l cat /etc/crontab ls /etc/cron.*
9)检查系统后门 cat /etc/crontab ls /var/spool/cron/ cat /etc/rc.d/rc.local ls /etc/rc.d ls /etc/rc3.d
10)检查系统服务 chkconfig —list rpcinfo -p(查看RPC服务) 11)安装chrootkit,检查是否有rootkit rootkit是入侵者经常使用的工具,这类工具可以隐秘、令用户不易察觉的建立了一条能够总能够入侵系统或者说对系统进行实时控制的途径。
yum install -y glibc-static mkdir chrootkit cd chrootkit/ wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar zxvf chkrootkit.tar.gz cd chkrootkit-0.52/ make sense #编译 ./chkrootkit #检测命令,若出现INFECTED那就要小心了(./chkrootkit | grep INFECTED)
检测脚本,放到定时任务里面即可 #!/bin/bash #sript name:chkrootkit.sh
TOOLKITSPATH=/usr/local MAILUSER=root@localhost file_chkrootkit_log=chkrootkitcron.log servername=`hostname` date=`date +%Y-%m-%d`
cd ${TOOLKITSPATH}/chkrootkit ./chkrootkit > ${file_chkrootkit_log} [ ! -z "$(grep INFECTED ${file_chkrootkit_log})" ] && \ grep INFECTED ${file_chkrootkit_log} | mail -s "[chkrootkit] report in ${servername} ${date}" ${MAILUSER}
rkhunter -c chkrootkit -q 备注:登录的时候提示信息在 /etc/motd 文件里面
12)查看临时目录是否存在攻击者入侵时留下的残余文件 #tail -n 100 ~/.bash_history | more #是否存在.c .py .sh为后缀的文件或者2进制elf文件 ls -la /tmp ls -la /var/tmp find / -name \*.elf | xargs ls -l 13)在web目录下运行 #查看是否有木马 grep -r "getRuntime" ./
#运行的时候被连接或者被任何程序调用 find . -type f -name "*.jsp" | xargs grep -i "getRuntime"
#返回ip地址字符串 find . -type f -name "*.jsp" | xargs grep -i "getHostAddress"
#创建WshShell对象可以运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量 find . -type f -name "*.jsp" | xargs grep -i "wscript.shell"
#gethostbyname()返回对应于给定主机名的包含主机名字和地址信息的hostent结构指针 find . -type f -name "*.jsp" | xargs grep -i "gethostbyname"
#调用系统命令提权 find . -type f -name "*.jsp" | xargs grep -i "bash"
#Jsp木马默认名字 find . -type f -name "*.jsp" | xargs grep -i "jspspy"
#检查是否有非授权访问管理日志 find . -type f -name "*.jsp" | xargs grep -i "getParameter"
#要进中间件所在日志目录运行命令 fgrep –R "admin_index.jsp" 20170702.log > log.txt #递归地读取每个目录下的所有文件
#查看是否出现对应的记录 fgrep –R "and1=1" *.log > log.txt fgrep –R "select " *.log > log.txt fgrep –R "union " *.log > log.txt fgrep –R "../../" *.log > log.txt fgrep –R "Runtime" *.log > log.txt fgrep –R "passwd" *.log > log.txt
#查看是否有shell攻击 fgrep –R "uname -a" *.log > log.txt fgrep –R "id" *.log > log.txt fgrep –R "ifconifg" *.log> log.txt fgrep –R "ls -l" *.log > log.txt
14) bash shell 漏洞 (1)、测试代码,有问题的 [root@localhost ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
(2)、修复(下面是参考网上的东西,不知道效果怎么样 [root@localhost ~]# yum -y install yum-downloadonly [root@localhost ~]# yum -y install bash-4.1.2-33.el6_7.1.x86_64.rpm
(3)、重新测试 [root@localhost ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test
#备注 当我们输入 env x='() { :;}; echo vulnerable'; bash -c "echo this is a test" 又可以出来不一样的效果
二、linux系统被入侵/中毒的表象
比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 因为服务器中毒之后被别人拿去利用,常见的就是拿去当肉鸡攻击别人;再者就是拿你的数据之类的。 所以服务器带宽方面需要特别注意下,如果服务器出去的带宽跑很高,那肯定有些异常,需要及时检查一下!
2)系统里会产生多余的不明的用户