最後防線 Linux主機入侵外連行為檢測

2021-10-17 08:44:26 字數 2604 閱讀 3436

主機入侵檢測系統系列:這一篇講述檢測外連行為的原理和技術,可統一檢測宿主機和docker子機

一台主機入侵後,入侵者往往會把資料傳送出去或啟動reverse shell。一般在idc的出口防火牆都會有檢測異常外連行為,可能由於中間有nat,並不一定知道是哪台機器過來,但即使是知道哪台機器過來的,也不知道是該台機器哪個程式發起的外連行為。

通常的操作,都是用netstat命令來獲取

[root@bogon-agent test]# netstat -anp4

active internet connections (servers and established)

proto recv-q send-q local address           foreign address         state       pid/program name    

tcp        0      0 127.0.0.1:42485         0.0.0.0:*               listen      33041/node          

tcp        0      0 0.0.0.0:22              0.0.0.0:*               listen      1640/sshd           

tcp        0      0 127.0.0.1:25            0.0.0.0:*               listen      1885/master         

tcp        0      0 127.0.0.1:55622         127.0.0.1:42485         established 25101/sshd: buckxu@ 

tcp        0      0 127.0.0.1:42485         127.0.0.1:50352         established 33041/node          

tcp        0      0 127.0.0.1:42485         127.0.0.1:55622         established 25171/node          

tcp        0      0 127.0.0.1:50354         127.0.0.1:42485         established 128902/sshd: buckxu 

tcp        0      0 192.168.190.129:45782   192.168.190.128:1514    established 2109/ossec-agentd   

tcp        0      0 127.0.0.1:50352         127.0.0.1:42485         established 128902/sshd: buckxu 

tcp        0      0 192.168.190.129:22      192.168.190.1:62331     established 25087/sshd: buckxu  

tcp        0      0 127.0.0.1:42485         127.0.0.1:50354         established 128969/node         

tcp        0      0 127.0.0.1:42485         127.0.0.1:55620         established 33041/node          

tcp        0      0 192.168.190.129:22      192.168.190.1:52429     established 128898/sshd: buckxu 

tcp        0      0 127.0.0.1:55620         127.0.0.1:42485         established 25101/sshd: buckxu@ 

udp        0      0 0.0.0.0:68              0.0.0.0:*                           103880/dhclient

但如果放在hids(主機入侵檢測系統)實現,就不可能呼叫命令,原因如下:

有些linux機器可能沒有安裝netstat命令

即使有netstat命令,也可能由於之前的操作,導致netstat執行時依賴的so庫缺失或符號缺失,導致無法執行這個命令

netstat命令執行有異常,變成殭屍程序

netstat命令在宿主機是沒辦法查到docker裡的外連行為

按照unix哲學一切皆檔案,像埠和程序資訊這些內容都可以從/proc檔案系統下找到,所以hids是會/proc獲取這些資訊。

下面拿上面命令結果的2109/node來做例子展示這種手段。

最後防線 Linux程序實時監控

做linux主機入侵檢測系統,對程序監控是乙個難點,要做不遺漏,也要做不影響系統效能,是非常困難。在現代作業系統中,任何攻擊行為都是借助程序這個執行單元來進行,檢測攻擊行為往往是對程序監控,檢測是否存在異常行為。基本上,使用linux的人都會用ps來獲取程序資訊。如果是獲取所有程序,往往是 ps e...

守好最後防線 企業電子文件加密系統綜述

隨著資訊科技的發展,企業為了提高資訊處理的速度和效率,越來越多的把自己的文件轉化為電子文件的形式,許多企業甚至把90 以上的企業機密資訊以電子文件的形式儲存在企業內網中。同時,企業也大量使用erp crm等電子資訊管理方案。這些新型管理手段的使用,在給企業帶來更高的生產效率的同時也給企業的資訊保安管...

補強後防線 中超新軍武漢卓爾簽約兩名內援

1月24日電 中超公升班馬武漢卓爾再添兩名新援。24日上午,俱樂部官方宣布,前北京北控隊後衛劉毅和門將董春雨加盟球隊。作為剛剛進入中超聯賽的新軍,武漢卓爾想要在國內頂級聯賽立足,絕非易事。因此,球隊在休賽期的引援工作頗受外界的關注。但在足協推出 四大帽 的背景下,球隊在引援方面則相當低調。今天上午,...