Linux - 11 langkah untuk mengajar anda cara menyemak dengan sempurna sama ada pelayan anda telah terjejas

Dengan peningkatan populariti produk sumber terbuka, kerana operasi Linux dan penyelenggaraan penting sama ada jurutera, ia mampu mengenal pasti mesin yang tidak normal. Yang penting, berdasarkan pengalaman kerja saya sendiri, saya telah menyusun beberapa situasi biasa di mana mesin digodam untuk rujukan:

Maklumat latar belakang: Situasi berikut telah dilihat pada sistem CentOS 6.9, dan pengedaran Linux lain adalah serupa .

1

Penceroboh boleh memadam maklumat log mesin

Anda boleh menyemak sama ada maklumat log masih wujud atau sama ada ia telah dikosongkan contoh arahan yang berkaitan:

2

🎜Pencerobohboleh mencipta fail baharu untuk menyimpan nama pengguna dan kata laluan

Anda boleh melihat fail /etc/passwd dan /etc/shadow, contoh arahan berkaitan:

3

4

View Acara log masuk yang berjaya dan acara log masuk yang tidak berjaya terakhir mesin yang sepadan dengan log "/var/log/lastLog" , contoh Perintah berkaitan:

5

View Semua pengguna yang kini log masuk ke machine

sepadan dengan fail log "/var/run/utmp", contoh arahan yang berkaitan:

6

Lihat pengguna yang telah log masuk sejak penciptaan mesin

sepadan dengan fail log "/var/log/wtmp", contoh arahan berkaitan:

Beginilah cara anda harus mencari akaun Linux rasmi Balas "buku git" di bahagian belakang dan dapatkan pakej hadiah kejutan.

7Lihat masa sambungan (jam) semua pengguna mesin

sepadan dengan fail log "/var/log/wtmp", contoh arahan yang berkaitan:

8

Jika anda mendapati bahawa mesin menjana trafik yang tidak normal

🎜🎜🎜🎜🎜Anda boleh menggunakan arahan "tcpdump" untuk menangkap paket rangkaian untuk melihat situasi trafik atau menggunakan alat untuk "iperf" lihat keadaan lalu lintas🎜🎜

9

Anda boleh melihat fail log /var/log/secure untuk mencari maklumat yang berkaitan

10 direktori untuk proses Fail boleh laku

Ikuti komuniti Cina Linux

11

Jika disahkan bahawa mesin telah diceroboh dan fail penting telah dipadam, anda boleh cuba mendapatkan semula fail yang dipadam Nota:

1 terbuka, walaupun ia adalah Padamkannya dan ia masih wujud pada cakera. Ini bermakna bahawa proses tidak menyedari bahawa fail telah dipadamkan, dan ia masih boleh membaca dan menulis kepada deskriptor fail yang diberikan kepadanya apabila ia dibuka. Fail ini tidak kelihatan kecuali kepada proses kerana inod direktori yang sepadan telah dipadamkan.

2 Dalam direktori /proc, ia mengandungi pelbagai fail yang mencerminkan inti dan pokok proses. Direktori /proc memasang kawasan yang dipetakan dalam ingatan, jadi fail dan direktori ini tidak wujud pada cakera, jadi apabila kita membaca dan menulis fail ini, kita sebenarnya mendapatkannya daripada maklumat yang berkaitan. Kebanyakan maklumat yang berkaitan dengan lsof disimpan dalam direktori yang dinamakan sempena PID proses Iaitu, /proc/1234 mengandungi maklumat untuk proses dengan PID 1234. Pelbagai fail wujud dalam setiap direktori proses yang membolehkan aplikasi memahami dengan mudah ruang memori proses, senarai deskriptor fail, pautan simbolik ke fail pada cakera dan maklumat sistem lain. Program lsof menggunakan maklumat ini dan maklumat lain tentang keadaan dalaman kernel untuk menghasilkan outputnya. Oleh itu, lsof boleh memaparkan maklumat seperti deskriptor fail dan nama fail berkaitan proses tersebut. Iaitu, kita boleh mencari maklumat yang berkaitan tentang fail dengan mengakses deskriptor fail proses tersebut.

3 Apabila fail dalam sistem terpadam secara tidak sengaja, selagi masih ada proses dalam sistem mengakses fail pada masa ini, kami boleh memulihkan kandungan fail dari direktori /proc melalui lsof.

Dengan mengandaikan bahawa penceroboh telah memadamkan fail /var/log/secure, kaedah cuba memulihkan fail /var/log/secure boleh seperti berikut:

a /secure file, Didapati bahawa fail tidak lagi wujud

b Gunakan arahan lsof untuk menyemak sama ada terdapat proses pembukaan /var/log/secure,

.

c Daripada maklumat di atas, anda boleh melihat bahawa deskriptor fail fail yang dibuka oleh PID 1264 (rsyslogd) ialah 4. Anda juga boleh melihat bahawa /var/log/secure telah ditandakan sebagai dipadam. Oleh itu, kita boleh melihat maklumat yang sepadan dalam /proc/1264/fd/4 (setiap fail yang dinamakan secara berangka di bawah fd mewakili deskriptor fail yang sepadan dengan proses), seperti berikut:

d dilihat daripada maklumat bahawa anda boleh mendapatkan data untuk dipulihkan dengan melihat /proc/1264/fd/4. Jika anda boleh melihat data yang sepadan melalui deskriptor fail, anda boleh menggunakan ubah hala I/O untuk mengubah hala ke fail, seperti:

e Periksa /var/log/secure sekali lagi dan dapatkan The fail sudah wujud. Kaedah memulihkan fail yang dipadam ini sangat berguna untuk banyak aplikasi, terutamanya fail log dan pangkalan data.

Atas ialah kandungan terperinci Linux - 11 langkah untuk mengajar anda cara menyemak dengan sempurna sama ada pelayan anda telah terjejas. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!