Linux入侵問題排查

2021-09-26 03:24:28 字數 1736 閱讀 8078

1.1.1、檢查伺服器系統及應用賬戶是否存在弱口令

解決方法:以管理員許可權登入系統或應用程式後台,修改為複雜的密碼

風險性:高

1.1.2、使用 last 命令檢視下伺服器近期登入的賬戶記錄,確認是否有可疑ip登入過機器;

1.1.3、通過 less /var/log/secure|grep 'accepted' 命令,檢視是否有可疑ip登入機器成功;

1.1.4、檢查系統是否採用預設管理埠

風險性:高

1.1.5、檢查下 /etc/passwd 這個檔案,看是否有非授權賬戶登入;

1、執行 netstat –antlp 檢視下伺服器是否有未被授權的埠被監聽,檢視下對應的pid。

2、使用 ps -ef 和 top 命令檢視是否有異常程序

1、使用 chkconfig --list 和 cat /etc/rc.local 命令檢視下開機啟動項中是否有異常的啟動服務

2、進入cron檔案目錄,檢視是否存在非法定時任務指令碼

1、如果您伺服器內有執行 web、資料庫等應用服務,請您限制應用程式賬戶對檔案系統的寫許可權,同時盡量使用非root賬戶執行。

方法/步驟:

chown -r centos:www /home/centos/web

設定**目錄許可權為750,750是centos使用者對目錄擁有讀寫執行的許可權,設定後, centos使用者可以在任何目錄下建立檔案,使用者組有有讀執行許可權,這樣才能進入目錄,其它使用者沒有任何許可權。

find -type d -exec chmod 750 {} \;

設定**檔案許可權為640,640指只有centos使用者對**檔案有更改的許可權,http伺服器只有讀取檔案的許可權,無法更改檔案,其它使用者無任何許可權。

find -not -type d -exec chmod 640 {} \;

針對個別目錄設定可寫許可權。比如**的一些快取目錄就需要給http服務有寫入許可權。例如discuz x2的/data/目錄就必須要寫入許可權。

find data -type d -exec chmod 770 {} \;

2、公升級修復應用程式漏洞

風險性:高

2. 被入侵後的安全優化建議

1、盡量使用ssh金鑰進行登入,減少暴力破解的風險

2、在伺服器內編輯 /etc/ssh/sshd_config 檔案中的 port 22 將 22 修改為其他非預設埠,修改之後重啟 ssh 服務。可使用 /etc/init.d/sshd restart 命令重啟

3、如果必須使用ssh密碼進行管理,選擇乙個好密碼

4、使用netstat -anltp檢查主機有哪些埠開放,關閉非業務埠。

6、應用程式盡量不使用root許可權

7、修復系統提權漏洞與執行在root許可權下的程式漏洞,以免惡意軟體通過漏洞提權獲得root許可權傳播後門

8、定期備份雲主機業務資料

Linux入侵排查

賬號安全 必看檔案 etc passwd etc shadow 必會命令 who,w,uptime,usermod,userdel 入侵排查 查詢特權使用者 awk f 3 0 etc passwd 查詢可以遠端登入的賬號 awk 1 6 at position 2 1 etc shadow 查 g...

Windows入侵問題排查

1 檢視伺服器已有系統或應用帳戶是否存在弱口令 檢查方法 根據實際情況自行確認。風險性 高 2 檢視下伺服器內是否有非系統和使用者本身建立的帳戶 3 檢查是否存在隱藏帳戶名 1 檢查是否存在惡意程序在系統後台執行 1 檢查伺服器內部是否有異常的啟動項 2 檢視正在連線的會話 1 如果您伺服器內有執行...

Windows 入侵排查

當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web 入侵 網頁掛馬 主頁篡改 webshell 系統...