Inhaltsverzeichnis
5
Heim Betrieb und Instandhaltung Betrieb und Wartung von Linux Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

Aug 03, 2023 pm 02:52 PM
linux


Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

Angesichts der zunehmenden Beliebtheit von Open-Source-Produkten ist es für einen Linux-Betriebs- und Wartungsingenieur von entscheidender Bedeutung, eindeutig erkennen zu können, ob die Maschine abnormal ist Wichtig ist, dass ich aufgrund meiner eigenen Arbeitserfahrung mehrere häufige Situationen, in denen Maschinen gehackt werden, als Referenz zusammengestellt habe:
Hintergrundinformationen: Die folgende Situation wurde auf einem CentOS 6.9-System beobachtet, und andere Linux-Distributionen sind ähnlich .

1

Die Intruder kann die Protokollinformationen des Geräts löschen. 2 Der Eindringlingerstellt möglicherweise eine neue Datei zum Speichern von Benutzernamen und Passwörtern

Sie können die Dateien /etc/passwd und /etc/shadow sowie zugehörige Befehlsbeispiele anzeigen:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


3

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


4

Anzeigen des letzten erfolgreichen Anmeldeereignisses und des letzten erfolglosen Anmeldeereignisses der Maschine

entsprechend dem Protokoll „/var/log/lastlog“ , zugehöriges Befehlsbeispiel:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


5

6Sehen Sie sich die Benutzer an, die sich seit der Erstellung der Maschine angemeldet haben

entsprechend der Protokolldatei „/var/log/wtmp“, zugehörige Befehlsbeispiele:

Darüber hinaus So sollten Sie nach offiziellen Linux-Konten suchen. Antworten Sie im Backend auf „Git Books“ und erhalten Sie ein Überraschungsgeschenkpaket.

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


7

Anzeigen der Verbindungszeit (Stunden) aller Benutzer der Maschine

entsprechend der Protokolldatei „/var/log/wtmp“, zugehörige Befehlsbeispiele:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


8

Wenn Sie feststellen, dass die Maschine ungewöhnlichen Datenverkehr erzeugt

, können Sie den Befehl „tcpdump“ verwenden, um Netzwerkpakete zu erfassen, um die Verkehrssituation anzuzeigen, oder das Tool „iperf“ verwenden, um Sehen Sie sich die Verkehrssituation an


9

Sie können die /var/log/secureProtokolldatei anzeigen

Versuchen Sie, die Informationen des Eindringlings und zugehörige Befehlsbeispiele zu ermitteln:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


10

Fragen Sie die Ausführungsskriptdatei ab, die dem abnormalen Prozess entspricht.

a.top-Befehl, um die PID anzuzeigen, die dem abnormalen Prozess entspricht. B. Suchen Sie nach dem Prozess in das virtuelle Dateisystemverzeichnis Ausführbare Datei

Folgen Sie der chinesischen Linux-Community

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


11

Wenn bestätigt wird, dass der Computer angegriffen wurde und wichtige Dateien gelöscht wurden, können Sie versuchen, die gelöschten Dateien wiederherzustellen. Hinweis:
1 Wenn ein Prozess eine Datei öffnet, solange der Prozess die Datei geöffnet lässt , auch wenn es gelöscht wird und noch auf der Festplatte vorhanden ist. Dies bedeutet, dass der Prozess nicht weiß, dass die Datei gelöscht wurde, und dass er weiterhin den Dateideskriptor lesen und schreiben kann, der ihm beim Öffnen zugewiesen wurde. Diese Datei ist außer für den Prozess nicht sichtbar, da der entsprechende Verzeichnis-Inode gelöscht wurde.
2. Im Verzeichnis /proc befinden sich verschiedene Dateien, die den Kernel und den Prozessbaum widerspiegeln. Das Verzeichnis /proc stellt einen im Speicher zugeordneten Bereich bereit, sodass diese Dateien und Verzeichnisse nicht auf der Festplatte vorhanden sind. Wenn wir diese Dateien also lesen und schreiben, erhalten wir sie tatsächlich aus dem Speicher. Die meisten Informationen zu lsof werden in Verzeichnissen gespeichert, die nach der PID des Prozesses benannt sind. Das heißt, /proc/1234 enthält Informationen für den Prozess mit der PID 1234. In jedem Prozessverzeichnis sind verschiedene Dateien vorhanden, die es Anwendungen ermöglichen, den Speicherplatz des Prozesses, Dateideskriptorlisten, symbolische Links zu Dateien auf der Festplatte und andere Systeminformationen leicht zu verstehen. Das Programm lsof verwendet diese und andere Informationen über den internen Zustand des Kernels, um seine Ausgabe zu erzeugen. Daher kann lsof Informationen wie den Dateideskriptor und den zugehörigen Dateinamen des Prozesses anzeigen. Das heißt, wir können relevante Informationen über die Datei finden, indem wir auf den Dateideskriptor des Prozesses zugreifen.
3. Wenn eine Datei im System versehentlich gelöscht wird, können wir den Inhalt der Datei über lsof aus dem Verzeichnis /proc wiederherstellen, solange zu diesem Zeitpunkt noch Prozesse im System vorhanden sind, die auf die Datei zugreifen.
Unter der Annahme, dass der Eindringling die Datei /var/log/secure gelöscht hat, kann die Methode zum Wiederherstellen der Datei /var/log/secure wie folgt aussehen:

a /secure-Datei, Es wurde festgestellt, dass die Datei nicht mehr existiert

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

b Verwenden Sie den Befehl lsof, um zu überprüfen, ob derzeit ein Prozess geöffnet ist /var/log/secure,

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

c. Aus den obigen Informationen können Sie ersehen, dass der Dateideskriptor der von PID 1264 (rsyslogd) geöffneten Datei 4 ist. Sie können auch sehen, dass /var/log/secure als gelöscht markiert wurde. Daher können wir die entsprechenden Informationen in /proc/1264/fd/4 (jede numerisch benannte Datei unter fd stellt den Dateideskriptor dar, der dem Prozess entspricht) wie folgt anzeigen:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

d Von oben Es kann Aus den Informationen geht hervor, dass Sie die wiederherzustellenden Daten erhalten können, indem Sie sich /proc/1264/fd/4 ansehen. Wenn Sie die entsprechenden Daten über den Dateideskriptor anzeigen können, können Sie sie mithilfe der E/A-Umleitung in die Datei umleiten, z. B.:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

e Überprüfen Sie erneut /var/log/secure und stellen Sie fest, dass Datei existiert bereits. Diese Methode zur Wiederherstellung gelöschter Dateien ist für viele Anwendungen sehr nützlich, insbesondere für Protokolldateien und Datenbanken.

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


Das obige ist der detaillierte Inhalt vonLinux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Beste grafische Einstellungen
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. So reparieren Sie Audio, wenn Sie niemanden hören können
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25: Wie man alles in Myrise freischaltet
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Wie löste ich das Problem der Berechtigungen beim Betrachten der Python -Version in Linux Terminal? Wie löste ich das Problem der Berechtigungen beim Betrachten der Python -Version in Linux Terminal? Apr 01, 2025 pm 05:09 PM

Lösung für Erlaubnisprobleme beim Betrachten der Python -Version in Linux Terminal Wenn Sie versuchen, die Python -Version in Linux Terminal anzuzeigen, geben Sie Python ein ...

Warum tritt bei der Installation einer Erweiterung mit PECL in einer Docker -Umgebung ein Fehler auf? Wie löst ich es? Warum tritt bei der Installation einer Erweiterung mit PECL in einer Docker -Umgebung ein Fehler auf? Wie löst ich es? Apr 01, 2025 pm 03:06 PM

Ursachen und Lösungen für Fehler Bei der Verwendung von PECL zur Installation von Erweiterungen in der Docker -Umgebung, wenn die Docker -Umgebung verwendet wird, begegnen wir häufig auf einige Kopfschmerzen ...

Wie kann man Node.js oder Python -Dienste in Lampenarchitektur effizient integrieren? Wie kann man Node.js oder Python -Dienste in Lampenarchitektur effizient integrieren? Apr 01, 2025 pm 02:48 PM

Viele Website -Entwickler stehen vor dem Problem der Integration von Node.js oder Python Services unter der Lampenarchitektur: Die vorhandene Lampe (Linux Apache MySQL PHP) Architekturwebsite benötigt ...

Wie löste ich Berechtigungsprobleme bei der Verwendung von Python -Verssionsbefehl im Linux Terminal? Wie löste ich Berechtigungsprobleme bei der Verwendung von Python -Verssionsbefehl im Linux Terminal? Apr 02, 2025 am 06:36 AM

Verwenden Sie Python im Linux -Terminal ...

Wie konfigurieren Sie die Timing -Timing -Aufgabe von ApScheduler als Dienst auf macOS? Wie konfigurieren Sie die Timing -Timing -Aufgabe von ApScheduler als Dienst auf macOS? Apr 01, 2025 pm 06:09 PM

Konfigurieren Sie die Timing -Timing -Timing -Timing -Timing auf der MacOS -Plattform, wenn Sie die Timing -Timing -Timing -Timing von APScheduler als Service konfigurieren möchten, ähnlich wie bei NGIN ...

Kann der Python -Dolmetscher im Linux -System gelöscht werden? Kann der Python -Dolmetscher im Linux -System gelöscht werden? Apr 02, 2025 am 07:00 AM

In Bezug auf das Problem der Entfernung des Python -Dolmetschers, das mit Linux -Systemen ausgestattet ist, werden viele Linux -Verteilungen den Python -Dolmetscher bei der Installation vorinstallieren, und verwendet den Paketmanager nicht ...

Vier Möglichkeiten zur Implementierung von Multithreading in C -Sprache Vier Möglichkeiten zur Implementierung von Multithreading in C -Sprache Apr 03, 2025 pm 03:00 PM

Multithreading in der Sprache kann die Programmeffizienz erheblich verbessern. Es gibt vier Hauptmethoden, um Multithreading in C -Sprache zu implementieren: Erstellen Sie unabhängige Prozesse: Erstellen Sie mehrere unabhängig laufende Prozesse. Jeder Prozess hat seinen eigenen Speicherplatz. Pseudo-MultitHhreading: Erstellen Sie mehrere Ausführungsströme in einem Prozess, der denselben Speicherplatz freigibt und abwechselnd ausführt. Multi-Thread-Bibliothek: Verwenden Sie Multi-Thread-Bibliotheken wie PThreads, um Threads zu erstellen und zu verwalten, wodurch reichhaltige Funktionen der Thread-Betriebsfunktionen bereitgestellt werden. Coroutine: Eine leichte Multi-Thread-Implementierung, die Aufgaben in kleine Unteraufgaben unterteilt und sie wiederum ausführt.

So öffnen Sie Web.xml So öffnen Sie Web.xml Apr 03, 2025 am 06:51 AM

Um eine Web.xml -Datei zu öffnen, können Sie die folgenden Methoden verwenden: Verwenden Sie einen Texteditor (z.

See all articles