Angesichts der zunehmenden Beliebtheit von Open-Source-Produkten ist es für einen Linux-Betriebs- und Wartungsingenieur von entscheidender Bedeutung, eindeutig erkennen zu können, ob die Maschine abnormal ist Wichtig ist, dass ich aufgrund meiner eigenen Arbeitserfahrung mehrere häufige Situationen, in denen Maschinen gehackt werden, als Referenz zusammengestellt habe: Hintergrundinformationen: Die folgende Situation wurde auf einem CentOS 6.9-System beobachtet, und andere Linux-Distributionen sind ähnlich .
1
Die Intruder kann die Protokollinformationen des Geräts löschen. 2 Der Eindringlingerstellt möglicherweise eine neue Datei zum Speichern von Benutzernamen und PasswörternSie können die Dateien /etc/passwd und /etc/shadow sowie zugehörige Befehlsbeispiele anzeigen:
3
4
Anzeigen des letzten erfolgreichen Anmeldeereignisses und des letzten erfolglosen Anmeldeereignisses der Maschine entsprechend dem Protokoll „/var/log/lastlog“ , zugehöriges Befehlsbeispiel:
5
6Sehen Sie sich die Benutzer an, die sich seit der Erstellung der Maschine angemeldet haben entsprechend der Protokolldatei „/var/log/wtmp“, zugehörige Befehlsbeispiele:
Darüber hinaus So sollten Sie nach offiziellen Linux-Konten suchen. Antworten Sie im Backend auf „Git Books“ und erhalten Sie ein Überraschungsgeschenkpaket.
7
Anzeigen der Verbindungszeit (Stunden) aller Benutzer der Maschine entsprechend der Protokolldatei „/var/log/wtmp“, zugehörige Befehlsbeispiele:
8
Wenn Sie feststellen, dass die Maschine ungewöhnlichen Datenverkehr erzeugt , können Sie den Befehl „tcpdump“ verwenden, um Netzwerkpakete zu erfassen, um die Verkehrssituation anzuzeigen, oder das Tool „iperf“ verwenden, um Sehen Sie sich die Verkehrssituation an
9
Sie können die /var/log/secureProtokolldatei anzeigenVersuchen Sie, die Informationen des Eindringlings und zugehörige Befehlsbeispiele zu ermitteln:
10
Fragen Sie die Ausführungsskriptdatei ab, die dem abnormalen Prozess entspricht. a.top-Befehl, um die PID anzuzeigen, die dem abnormalen Prozess entspricht. B. Suchen Sie nach dem Prozess in das virtuelle Dateisystemverzeichnis Ausführbare Datei
Folgen Sie der chinesischen Linux-Community
11
Wenn bestätigt wird, dass der Computer angegriffen wurde und wichtige Dateien gelöscht wurden, können Sie versuchen, die gelöschten Dateien wiederherzustellen. Hinweis: 1 Wenn ein Prozess eine Datei öffnet, solange der Prozess die Datei geöffnet lässt , auch wenn es gelöscht wird und noch auf der Festplatte vorhanden ist. Dies bedeutet, dass der Prozess nicht weiß, dass die Datei gelöscht wurde, und dass er weiterhin den Dateideskriptor lesen und schreiben kann, der ihm beim Öffnen zugewiesen wurde. Diese Datei ist außer für den Prozess nicht sichtbar, da der entsprechende Verzeichnis-Inode gelöscht wurde. 2. Im Verzeichnis /proc befinden sich verschiedene Dateien, die den Kernel und den Prozessbaum widerspiegeln. Das Verzeichnis /proc stellt einen im Speicher zugeordneten Bereich bereit, sodass diese Dateien und Verzeichnisse nicht auf der Festplatte vorhanden sind. Wenn wir diese Dateien also lesen und schreiben, erhalten wir sie tatsächlich aus dem Speicher. Die meisten Informationen zu lsof werden in Verzeichnissen gespeichert, die nach der PID des Prozesses benannt sind. Das heißt, /proc/1234 enthält Informationen für den Prozess mit der PID 1234. In jedem Prozessverzeichnis sind verschiedene Dateien vorhanden, die es Anwendungen ermöglichen, den Speicherplatz des Prozesses, Dateideskriptorlisten, symbolische Links zu Dateien auf der Festplatte und andere Systeminformationen leicht zu verstehen. Das Programm lsof verwendet diese und andere Informationen über den internen Zustand des Kernels, um seine Ausgabe zu erzeugen. Daher kann lsof Informationen wie den Dateideskriptor und den zugehörigen Dateinamen des Prozesses anzeigen. Das heißt, wir können relevante Informationen über die Datei finden, indem wir auf den Dateideskriptor des Prozesses zugreifen. 3. Wenn eine Datei im System versehentlich gelöscht wird, können wir den Inhalt der Datei über lsof aus dem Verzeichnis /proc wiederherstellen, solange zu diesem Zeitpunkt noch Prozesse im System vorhanden sind, die auf die Datei zugreifen. Unter der Annahme, dass der Eindringling die Datei /var/log/secure gelöscht hat, kann die Methode zum Wiederherstellen der Datei /var/log/secure wie folgt aussehen: a /secure-Datei, Es wurde festgestellt, dass die Datei nicht mehr existiert
b Verwenden Sie den Befehl lsof, um zu überprüfen, ob derzeit ein Prozess geöffnet ist /var/log/secure,
c. Aus den obigen Informationen können Sie ersehen, dass der Dateideskriptor der von PID 1264 (rsyslogd) geöffneten Datei 4 ist. Sie können auch sehen, dass /var/log/secure als gelöscht markiert wurde. Daher können wir die entsprechenden Informationen in /proc/1264/fd/4 (jede numerisch benannte Datei unter fd stellt den Dateideskriptor dar, der dem Prozess entspricht) wie folgt anzeigen:
d Von oben Es kann Aus den Informationen geht hervor, dass Sie die wiederherzustellenden Daten erhalten können, indem Sie sich /proc/1264/fd/4 ansehen. Wenn Sie die entsprechenden Daten über den Dateideskriptor anzeigen können, können Sie sie mithilfe der E/A-Umleitung in die Datei umleiten, z. B.:
e Überprüfen Sie erneut /var/log/secure und stellen Sie fest, dass Datei existiert bereits. Diese Methode zur Wiederherstellung gelöschter Dateien ist für viele Anwendungen sehr nützlich, insbesondere für Protokolldateien und Datenbanken.
Das obige ist der detaillierte Inhalt vonLinux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!