一、上傳木馬的過程
1、預設埠22弱口令暴力破解;
2、21埠或者3306埠弱口令暴力破解;
3、webshell進行shell**提權;
4、木馬傳入伺服器的上面並且執行,通過木馬的方式來控制你的伺服器進行非法的操作。
二、常見操作
1、切入/tmp;
3、木馬載入許可權;
4、執行木馬;
5、後門,支援木馬復活。
三、清除木馬
1、網路連線,過濾掉正常連線;
# netstat -nalp | grep "tcp" | grep -v "22" | grep "established"
2、判斷一些異常連線,通過pid找到程序名稱;
# ps -ef | grep "27368"
3、通過名字,找到原檔案,刪除掉原檔案。
四、清除後門
1、檢查/etc/rc.local;
2、檢查計畫任務crontab -l;
3、檢查/root/.bashrc和普通使用者下的.bashrc;
4、檢查/etc/profile檔案定期進行md5校驗。
五、安全加固
1、了解常見的掃瞄和提權埠
-22 埠暴力破解
-21埠提權
-3306 埠提權
-webshell **
2、如何對linux進行安全加固
2.1程序數量監控及對比
2.1.1、程序數量
2.1.2、程序異常的名稱及pid號
2.1.3、根據pid號進行查詢網路連線異常
寫乙個指令碼:
將伺服器正常的程序號,匯入到乙個目錄,取個名字叫做原始.log,提取實時程序名稱》實時.log,通過diff去對比原始和實時的log區別,一旦發現對比不一樣,通過名稱得到pid號,然後通過pid查詢網路連線和監聽的埠號及ip位址。將這些資訊傳送告警到管理員的手機或者郵箱郵件裡面,讓管理員進行判斷和分析。
2.2、計畫任務列表監控
2.2.1、檢視計畫任務
2.2.2、監控/var/log/cron日誌
2.3、使用者登入監控
2.3.1、什麼使用者登入的?在什麼時候登入的?
2.3.2、使用者登入ip是否合法?
2.3.3、使用者登入的使用者名稱是否合法?
2.3.4、使用者登入時間是否合法?
2.4、/etc/passwd、/etc/shadow md5
2.4.1、md5校驗防止有人更改passwd和shadow檔案
2.4.2、passwd檔案可以進行加鎖chattr許可權
2.4.3、passwd定期進行備份,進行內容diff對比
2.5、非有效使用者登入shell許可權
2.5.1、除了運維常用的維護賬號以外,其他賬戶不能擁有登入系統的shell
2.5.2、針對/etc/passwd檔案統計bash結尾的有多少個?將不用的改成/sbin/nologin
2.5.3、將不必要的賬戶刪除或者鎖定
2.6、安全日誌分析與監控/var/log/secure
2.6.1、定期或者實時分析/var/log/secure檔案,是否有暴力破解和試探
2.6.2、過濾accepted關鍵字,分析對應的ip是否為運維常用ip及埠號和協議。否則視為已經被入侵。
2.6.3、定期備份/var/log/secure防止此人入侵後,更改和刪除入侵目錄
2.7、/etc/sudoers監控
2.7.1、防止對方通過webshell**的方式,增加普通使用者到/etc/sudoers
2.7.2、定期備份/etc/sudoers和監控,發現特殊的使用者寫入此檔案,視為已被入侵。
2.7.3此配置檔案,普通使用者可繞過root密碼直接sudo到root許可權
2.8、網路連線數的異常
2.8.1、經常統計tcp連線,排除正常的連線以外,分析額外的tcp長連線,找出非正常的連線程序
2.8.2、發現異常程序後,通過程序名使用top的方式,或者find命令搜尋木馬所在的位置
2.8.3、找到連線所監聽的埠號以及ip,將此ip拉入黑名單,kill掉程序,刪除木馬原始檔
2.8.4、監控連線監聽,防止木馬復活
2.9、/etc/profile定期巡檢
2.9.1、檢查/etc/profile檔案防止木馬檔案路徑寫入環境變數,防止木馬復活
2.9.2、防止/etc/profile呼叫其他的命令或者指令碼進行後門連線
2.9.3、此檔案進行md5校驗,定期備份與diff如發現異常則視為被入侵
2.10、/root/.bashrc定期巡檢
2.10.1、檢查/root/.bashrc檔案,防止隨著root使用者登入,執行使用者變數,導致木馬復活
2.10.2、防止/root/.bashrc通過此檔案進行後門建立與連線
2.10.3、此檔案進行md5校驗,定期備份與diff,如發現異常,則視為入侵
2.11、常用埠號加固及弱口令
2.11.1、修改22預設埠號
2.11.2、修改root密碼為複雜口令或禁止root使用者登入,使用key方式登入
2.11.3、ftp要固定chroot目錄,只能在當前目錄,不隨意切換目錄
2.11.4、mysql注意修改3306預設埠號,授權的時候不允許使用%號進行授權。
2.11.5、mysql使用者及ip授權請嚴格進行授權,除了dba,其他開發人員不應該知道jdbc檔案對應的使用者名稱和密碼
2.12、/tmp目錄的監控
2.12.1、由於/tmp目錄的特殊性,很多上傳木馬的第一目標就是/tmp
2.12.2、/tmp進行檔案和目錄監控,發現變動及時警告
2.13、web層面的防護
所有web層的安全成為首要,要定期進行web程式漏洞掃瞄,發現之後及時通知開人員修補,對於金融行業的有必要邀請第三方定期進行滲透測試。
六、常見的安全**
烏雲漏洞:
盒子漏洞:
國家資訊保安漏洞平台:
freebuf:
stackoverflow:
cve漏洞:
360blog:
osr:
漏洞庫:
codeproject:
七、運維安全審計
1、環境安全
2、物理鏈路的安全
3、網路安全
4、前端程式的安全
5、系統的安全
6、資料的安全
7、內部人員的安全
Linux安全攻防筆記
一 上傳木馬的過程 1 預設埠22弱口令暴力破解 2 21埠或者3306埠弱口令暴力破解 3 webshell進行shell 提權 4 木馬傳入伺服器的上面並且執行,通過木馬的方式來控制你的伺服器進行非法的操作。二 常見操作 1 切入 tmp 3 木馬載入許可權 4 執行木馬 5 後門,支援木馬復活...
linux系統安全基礎筆記之一
系統和使用者管理基礎 一 使用者安全 etc securetty 檔案 列出了root登陸時使用的tty裝置。應該僅包括本地控制台。示例檔案 已經修改過了 etc securetty list of terminals on which root is allowed to login.see se...
安全編碼筆記
security cookie,防止棧溢位,在棧上堆上放了security cookie,函式退出是會判斷是否溢位,yognida時候可以看見。還有就是變數重新排列。突破方式 未被保護的記憶體繞過 未大於4位元組的快取預設不開gs 覆蓋虛函式突破,seh攻擊突破,替換cookie突破。作業系統編譯器...