Web安全1 4 溯源 部分Linux命令

2021-09-18 06:27:07 字數 2476 閱讀 1493

說明:本實驗環境採用的linuxredhat版本,但有些命令並不是此版本的,只要了解思路即可。

溯源直接可以翻譯為尋找上游,我們可以理解為尋求根源。

由於這裡說的是網路安全,因此我們可以這樣來理解,比如一台伺服器被黑客進行了入侵,這台伺服器就有可能被黑客作為跳板,進而去入侵其他伺服器,同理讓更多的伺服器淪為肉雞,成為挖礦機器。因此我們需要根據日誌等黑客的入侵的蛛絲馬跡,一步一步去追查,去尋找攻擊的根源。

那麼,這裡以淪為挖礦的伺服器為例:當我們發現伺服器響應遲緩,變得與往常有些異常的時候,首先我們就懷疑伺服器被入侵了,假設用來挖礦了。由於伺服器遲緩,那麼我們可以檢視當前系統的程序執行狀況是怎樣的,最直觀的就是cpu和記憶體了吧.

我們可以使用top命令來檢視一下cpu、記憶體的使用情況,尋找消耗資源的程序。

之後通過這個程序進一步檢視埠的連線資訊,使用netstat命令,從這個命令中我們就可以知道挖礦的pid、與外部連線的ip了,進而查詢程序檔案,通過日誌檔案查詢相應的痕跡。

總結一下溯源的過程,通過cpu佔用率分析埠,通過埠尋找程序和外聯ip,查詢入侵**。

以下是在命令列介面中直接輸入top後顯示的結果:

top顯示當前系統執行的程序,相當於windows下的任務管理器

c顯示程序的完整的命令列

p以 cpu 占用的方式進行排序

m以 記憶體 占用的方式進行排序

ctrl+c

退出(返回命令列模式)

檢視埠網路連線

-a顯示所有socket,包括正在監聽的

-n以網路ip位址代替名稱,顯示網路連線狀況

-p顯示建立相關連線的程式名和pid

-t顯示tcp協議的連線情況

-u顯示udp協議的連線情況

計畫任務目錄 /var/spool/cron

日誌目錄   /var/log

(1)ps命令:

ps檢視當前系統中的程序資訊,

a檢視其他使用者的程序

u顯示程序的使用者名稱和時間

x檢視自己的程序

(2)其他命令:

命令註解

ifconfig

檢視ip資訊

uname -a

檢視當前操作的linux核心

cat /etc/redhat-release

檢視發行版本

crontab

-l 列出系統的全部計畫任務(/var/spool/cron)

-e進入編輯任務計畫模式

vi ~/.bash_history

歷史命令操作歷史

cat /proc/pid

檢視程序檔案

find . -name 『*.txt』

查詢當前目錄中名字字尾為txt的檔案

(find命令用於查詢已知黑客入侵時間範圍內「變更的檔案」)

history

歷史命令資訊

lastlog

顯示最後登入資訊

last /var/log/wtmp

檢視歷史使用者登入資訊

cat /var/log/secure

檔案尋找可以ip登陸次數

cat /var/log/auth.log

系統登入日誌

tail -f auth.log

實時的輸出最新的日誌

(3)文字編輯命令:

命令後跟檔名

命令註解

cat顯示某個檔案的全部內容

head

預設輸出檔案頭部的10行內容(-n 指定數字)

tail

預設輸出檔案尾部10行的內容(-n 指定數字)

除此之外還有比較強大的vim命令,由於太多,這裡不再講解。

(4)通用命令:

命令註解

命令a |grep b

執行完命令a後,只顯示含有b的資訊

-u redhat

指定執行命令的使用者是redhat使用者

(5)雜項:

touch :建立乙個文字檔案(-t指定生成檔案的時間)

touch -t 201904140000 t_start

touch -t 201904150000 t_end

find . -type f -newer t_start ! -newer t_end

查詢乙個比t_start 新 比 t_end 舊的檔案 /tmp

白帽子講Web安全(第 14 章 PHP 安全)

嚴格來說,檔案包含漏洞是 注入 的一種。在 注入攻擊 一章中,曾經提到過 注入 這種攻擊,其原理就是注入一段使用者能夠控制的指令碼或 並讓伺服器端執行。注入 的典型代表就是檔案包含 file inclusion 檔案包含可能會出現在 jsp php asp 等語言中,常見的導致檔案包含的函式如下。檔...

Linux系統Web應用安全加固

阿里雲大學課程 linux系統web應用安全加固 課程介紹 如果我們已經把web應用架構在一套基於linux系統的環境中,應該怎麼進行哪些有效的安全配置,來減少安全風險呢?我們應該在什麼地方和如何進行操作呢?linux下web安全加固認證旨在幫助學員掌握架構在linux環境中web應用涉及到的 作業...

Linux系統Web應用安全加固

linux系統由於其出色的效能和穩定性 開放源 的靈活性和可擴充套件性,以及較低廉的成本,而受到計算機工業界的廣泛關注和應用。其系統的安全性就必須要加強。如果我們已經把web應用架構在一套基於linux系統的環境中,應該怎麼進行哪些有效的安全配置,來減少安全風險呢?我們應該在什麼地方和如何進行操作呢...