Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

Avec la popularité croissante des produits open source, en tant qu'ingénieur d'exploitation et de maintenance Linux, il est crucial de pouvoir identifier clairement si la machine anormale a Surtout, sur la base de ma propre expérience professionnelle, j'ai compilé plusieurs situations courantes dans lesquelles des machines sont piratées pour référence :

Informations générales : la situation suivante a été observée sur un système CentOS 6.9 et d'autres distributions Linux sont similaires. .

1

La intrus peut supprimer les informations du journal de la machine, vous pouvez vérifier si les informations du journal existent toujours ou si elles ont été effacées. 2 L'intruspeut créer un nouveau fichier pour stocker les noms d'utilisateur et les mots de passe

Vous pouvez afficher les fichiers /etc/passwd et /etc/shadow, exemples de commandes associées :

3

4

Voir le dernier événement de connexion réussie et le dernier événement de connexion infructueux de la machine

correspondant au log "/var/log/lastlog" , exemple de commande associé :

5

Afficher tous les utilisateurs actuellement connectés à la machine

correspondant au fichier journal "/var/run/utmp", exemples de commandes associées :

6Affichez les utilisateurs connectés depuis la création de la machine

correspondant au fichier journal "/var/log/wtmp", exemples de commandes associées :

De plus, c'est ainsi que vous devez rechercher des comptes Linux officiels. Répondez « git books » dans le backend et recevez un paquet cadeau surprise.

7

Afficher le temps de connexion (heures) de tous les utilisateurs de la machine

correspondant au fichier log "/var/log/wtmp", exemples de commandes associées :

8

Sivous constatez que la machine génère un trafic anormal

Vous pouvez utiliser la commande "tcpdump" pour capturer les paquets réseau afin de visualiser la situation du trafic ou utiliser l'outil "iperf" pour voir la situation du trafic

9

Vous pouvez consulter le fichier /var/log/securelog

Essayez de découvrir les informations de l'intrus, exemples de commandes associées :

10

Interrogez le fichier de script d'exécution correspondant au processus anormal

commande a.top pour afficher le PID correspondant au processus anormal

b Recherchez le processus dans. le répertoire du système de fichiers virtuel Fichier exécutable Suivez la communauté chinoise Linux

11

S'il est confirmé que la machine a été envahie et que des fichiers importants ont été supprimés, vous pouvez essayer de récupérer les fichiers supprimés. Remarque :

1. ouvert, même s'il est supprimé et qu'il existe toujours sur le disque. Cela signifie que le processus ne sait pas que le fichier a été supprimé et qu'il peut toujours lire et écrire dans le descripteur de fichier qui lui a été attribué lors de son ouverture. Ce fichier n'est visible que par le processus car son inode de répertoire correspondant a été supprimé.

2. Dans le répertoire /proc, il contient divers fichiers reflétant le noyau et l'arborescence des processus. Le répertoire /proc monte une zone mappée en mémoire, donc ces fichiers et répertoires n'existent pas sur le disque, donc lorsque nous lisons et écrivons ces fichiers, nous les obtenons en fait de la mémoire. La plupart des informations liées à lsof sont stockées dans des répertoires nommés d'après le PID du processus. Autrement dit, /proc/1234 contient des informations sur le processus avec le PID 1234. Différents fichiers existent dans chaque répertoire de processus qui permettent aux applications de comprendre facilement l'espace mémoire du processus, les listes de descripteurs de fichiers, les liens symboliques vers les fichiers sur le disque et d'autres informations système. Le programme lsof utilise ces informations ainsi que d'autres informations sur l'état interne du noyau pour produire sa sortie. Par conséquent, lsof peut afficher des informations telles que le descripteur de fichier et le nom de fichier associé au processus. Autrement dit, nous pouvons trouver des informations pertinentes sur le fichier en accédant au descripteur de fichier du processus.

3. Lorsqu'un fichier du système est accidentellement supprimé, tant qu'il y a encore des processus dans le système accédant au fichier à ce moment-là, nous pouvons restaurer le contenu du fichier à partir du répertoire /proc via lsof.

En supposant que l'intrus a supprimé le fichier /var/log/secure, la méthode pour tenter de restaurer le fichier /var/log/secure peut être la suivante :

a. /secure, il s'avère que le fichier n'existe plus

b Utilisez la commande lsof pour vérifier s'il existe actuellement un processus d'ouverture /var/log/secure,

.

c. À partir des informations ci-dessus, vous pouvez voir que le descripteur du fichier ouvert par le PID 1264 (rsyslogd) est 4. Vous pouvez également voir que /var/log/secure a été marqué comme supprimé. Par conséquent, nous pouvons afficher les informations correspondantes dans /proc/1264/fd/4 (chaque fichier nommé numériquement sous fd représente le descripteur de fichier correspondant au processus), comme suit :

d D'en haut. Il ressort des informations que vous pouvez récupérer les données en consultant /proc/1264/fd/4. Si vous pouvez afficher les données correspondantes via le descripteur de fichier, vous pouvez utiliser la redirection d'E/S pour les rediriger vers le fichier, par exemple :

Vérifiez à nouveau /var/log/secure et trouvez que The. le fichier existe déjà. Cette méthode de récupération de fichiers supprimés est très utile pour de nombreuses applications, notamment les fichiers journaux et les bases de données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!