Linux服务器被入侵后,我们该如何排查隐患
最后更新 :2022.03.05
看了看前几天的内容,发现有几天没有给大家整点干货了,正寻思着给大家整点啥,冥思苦相不得解后,偷偷溜出了办公司,跑去隔壁教学区,准备去旁听一下蹭蹭课,诶,没想到吧,授课老师正在讲Linux服务器入侵。
好的,那我就跟大家说一说Linux服务器被入侵后,我们该如何排查潜在的安全隐患,上课!
1、用户信息文件/etc/passwd
ps:无密码只允许本机登陆,远程不允许登陆
2、影子文件:/etc/shadow
3、查看当前登录用户及登录时长
4、排查用户登录信息
1.查看最近登录成功的用户及信息
2.查看最近登录失败的用户及信息:
3.显示所有用户最近一次登录信息:
在排查服务器的时候,黑客没有在线,可以使用last
命令排查黑客什么时间登录的有的黑客登录时,会将/var/log/wtmp
文件删除或者清空,这样我们就无法使用last命令获得有用的信息了。
在黑客入侵之前,必须使用chattr +a
对/var/log/wtmp
文件进行锁定,避免被黑客删除.
5、sudo用户列表
入侵排查:
通过.bash\_history
文件查看帐号执行过的系统命令:
打开 /home 各帐号目录下的 .bash_history,查看普通帐号执行的历史命令。
为历史的命令增加登录的 IP 地址、执行命令时间等信息:
注意:历史操作命令的清除:history -c
该操作并不会清除保存在文件中的记录,因此需要手动删除.bash\_profile
文件中的记录
检查端口连接情况:
使用 ps 命令,分析进程,得到相应pid号:
查看 pid 所对应的进程文件路径:
分析进程:
查看进程的启动时间点:
根据pid强行停止进程:
注意:如果找不到任何可疑文件,文件可能被删除,这个可疑的进程已经保存到内存中,是个内存进程。这时需要查找PID 然后kill掉。
检查开机启动项:
系统运行级别示意图:
查看运行级别命令:
开机启动配置文件:
启动Linux系统时,会运行一些脚本来配置环境——rc脚本。在内核初始化并加载了所有模块之后,内核将启动一个守护进程叫做init
或init.d
。这个守护进程开始运行/etc/init.d/rc
中的一些脚本。这些脚本包括一些命令,用于启动运行Linux系统所需的服务。
开机执行脚本的两种方法:
(1)在/etc/rc.local的exit 0语句之间添加启动脚本。脚本必须具有可执行权限
(2)用update-rc.d命令添加开机执行脚本
1、编辑修改/etc/rc.local
2、update-rc.d:此命令用于安装或移除System-V风格的初始化脚本连接。脚本是存放在/etc/init.d/
目录下的,当然可以在此目录创建连接文件连接到存放在其他地方的脚本文件。
此命令可以指定脚本的执行序号,序号的取值范围是 0-99,序号越大,越迟执行。
当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d
目录下,然后在/etc/rc.d/rc_.d
文件中建立软链接即可。
语法:update-rc.d 脚本名或服务 <remove|defaults|disable|enable>
开机即执行。
入侵排查:
计划任务排查:
需要注意的几处利用cron的路径:
上面的命令实际上是列出了/var/spool/cron/crontabs/root
该文件的内容:
- /etc/crontab只允许root用户修改
- /var/spool/cron/存放着每个用户的crontab任务,每个任务以创建者的名字命名
- /etc/cron.d/将文件写到该目录下,格式和
/etc/crontab
相同 - /etc/cron.hourly/、
/etc/cron.daily/
、/etc/cron.weekly/
、/etc/cron.monthly/
目录中,让它每小时/天/星期/月执行一次。
小技巧:
入侵排查:重点关注以下目录中是否存在恶意脚本;
入侵排查:
查询已安装的服务:
RPM 包安装的服务:
源码包安装的服务:
异常文件检查:
按照几种方式查找修改的文件:
(1)按照名称
(2)按照文件大小
(3)按照时间查找
(4)根据属主和属组查找:
(5)按照CPU使用率从高到低排序:
(6)按照内存使用率从高到低排序:
补充:
1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性。
2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
可以使用find命令来查找,如find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件。
3、针对可疑文件可以使用 stat 进行创建修改时间。
系统日志检查:
日志默认存放位置:/var/log/
必看日志:secure、history
查看日志配置情况:more /etc/rsyslog.conf
日志分析技巧:
内容很长,还有些枯燥,但是希望大家可以慢慢看完,要是有哪里需要补充的,也随时欢迎大家评论留言,好的,下课!!
- END -
如何加强培养企业网络安全意识专题教育培训
如何加强培养企业网络安全意识专题教育培训如今,网络安全形势日益严峻,网络和信息系统已经...
考研失败的同学,换个成长思路吧
考研成绩出来了。成绩不理想的你是否内心五味杂陈,有些同学甚至是二战三战。你可能在为...
当黑客遇到骗子:只能一锅端
一直以来我们听到的都是群众被电信诈骗犯骗走了多少万的消息,每当听到这样的事,心里就多了...
做端点安全产品的企业有哪些
网盾带你了解那些做端点安全产品的企业端点安全就是指端点的安全问题。端点是指可以接收...
任正非的“活下去” 对于普通年轻人择业的警示
22号,华为内部论坛上线了一篇关于《整个公司的经营方针要从追求规模转向追求利润和现金...
网络安全培训内容有哪些?
网络安全培训内容有哪些?现在大学生工作难找,究其原因无非是学历和技能受限造成的,大环境再...
黑客攻击武汉地震局意欲何为
黑客攻击武汉地震局意欲何为作者:时间:2023-07-27 16:09:09网络安全培训 网络安全培...
2023了,学JAVA还好找工作吗?
抛开培训机构的那些广告数据,我们来看如今网友们提供的真实就业情况。在原来的一篇文章...
教育部:网络安全等16个领域纳入国家安全教育 大中小学全覆盖
从教育部获悉,为深入学习贯彻习近平总书记总体国家安全观,结合教育系统实际,教育部2020年9...
网络安全培训机构哪家好
目前网络安全行业火热,无论是刚毕业的大学生还是有一定经验的it从业者,都希望成为一名网络...
入行网络安全究竟是半路出家和科班出身更合适
入行网络安全究竟是半路出家和科班出身更合适很多人在培训前,总有个疑问,我现在半路出家...
找不到工作,学网络安全好就业吗?
在面临全球经济萧条的状态下,各行各业都被迫处于紧衣缩食的状态,导致裁员热潮一波接着一波...
形势严峻,还在计划暑假怎么玩的你要怎么面对毕业就失业的困境?
形势严峻,还在计划暑假怎么玩的你要怎么面对毕业就失业的困境?阿里裁员7%、某银行60万员...
怎么零基础入门网络安全?
怎么零基础入门网络安全?随着互联网的普及,网络安全成为越来越受重视的话题,求职热门岗位中...
20届还没找到工作的同学,现在该如何快速自救?!
2020年,这届毕业生,难!还没找到工作的2020届毕业生,到底该怎么办?2020届毕业生:我们实在太难了...
哥斯达黎加遭Conti勒赎软件攻击,Conti是什么?
哥斯达黎加遭Conti勒赎软件攻击,Conti是什么?本月,哥斯达黎加政府旗下多个机关,纷纷遭到Cont...
科技股银行破产 经济危机来临,普通人的出路在哪?
3月10日,美国硅谷银行暴雷。股价单日暴跌60%,宣布关闭。2022年,硅谷银行资产规模为2118亿美...
应届生毕业找不到工作转行IT需要做好哪些准备呢?
相信这是很多即将毕业的应届生们都非常关心的问题。在这里,我们将站在一个应届生毕业且对...
什么是DDoS攻击?
DDoS攻击的定义分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是...
网络安全到底怎么学?网络安全培训哪里最好?最强总结来了!
现在越来越多应届生转行开始学习网络安全了,网络安全工程师成了不少人梦寐以求的职位。那...
我为什么要做攻城狮而不是程序猿
我大学学的是计算机专业,大四毕业就找了个程序猿的工作。两年之后,我带着做程序猿赚的一些...
那些说网络安全不好就业的,你能力真的满足企业要求吗?
前段时间,遇到网友提问,说为什么我信息安全专业的找不到工作?造成这个结果主要是有两大方...
seeker结合ngrok进行社会工程学钓鱼
今天盾叔给大家带来的是seeker结合ngrok进行社会工程学钓鱼的教程,下面话不多说,直接开始!0...
究竟什么是密码学?
什么是密码学?密码学(Cryptology)是一种用来混淆的技术,它希望将正常的、可识别的信息转变...
汶川地震13周年祭,地震监测预警面临的三大网络安全威胁你知道吗?
当时间来到2021年5月12日,这一天,心绪将刮去覆盖在日常之上的层层琐屑,唤起那些隐藏于心的...
学网络安全为什么培训好?
学网络安全为什么培训好?根据最新版网络安全产业人才发展报告指出,在疫情常态化后,国内经济...
网络安全学习会遇到哪些困难?网络安全学习方案
网络安全学习会遇到哪些困难?网络安全学习方案很多人都想转行,学习网络安全,但是又觉得网络...
某求职APP被“撞库”,这30万人赶紧改密码
某求职APP被“撞库”,这30万人赶紧改密码前不久,某互联网公司求职招聘类app的短...
你的手机为什么不安全了?
手机是当代人使用频率最高的工具,但也成为黑客盗取人们隐私和造成其财产损失的最重要目...
连特斯拉都在裁员,如今的年轻人只能打零工?
6月2日,路透社报道称,其获取到了一封马斯克写给特斯拉管理层的邮件,邮件名为《暂停全球所有...
什么是可信计算?
什么是可信计算?可信计算,即Trusted Computing,简称TC,是由TCG(可信计算组)推动和开发的技术。...
小心!这些不起眼的日常小东西可以黑进你的设备
一、线缆(数据线)国外一个叫MG的小哥,曾制作了一个入侵数据线。攻击者可以利用它破坏苹果...
想转行网络安全行业,究竟是参加培训班还是靠自学?
转行网络安全行业,究竟是参加培训班还是靠自学?一、网络安全行业未来有没有前景?目前,各行...
渗透测试之跨站脚本攻击漏洞
跨站脚本漏洞概述跨站脚本攻击,俗称xss,通常指利用网站漏洞从用户处获取隐私信息。跨站脚...
你在看视频,黑客在窃取你的信用卡信息
在近日发生的一件信息窃取事件中,Palo Alto Networks Unit42安全团队发现,黑客正在通过云...
年薪50万需要付出多少努力
年薪50万需要付出多少努力在人均百万年薪的知乎谈这个话题似乎略显寒酸,但根据现实数据来...
什么是网络安全中的供应链攻击?
“供应链”这个概念对于不同的行业可以有不同的含义。在网络安全中可以解释为相互链接...
怎么学好网络安全,网络安全应该学什么?
怎么学好网络安全,网络安全应该学什么?随着网络安全被列为国家安全战略的一部分,这个曾经...
企业网络安全培训方案怎么写?一篇文章教会你
企业网络安全培训方案怎么写?一篇文章教会你随着数字化转型的推进,企业面临着越来越复杂和...
30岁转行网络安全来得及吗?有发展空间吗?
30岁转行网络安全来得及吗?有发展空间吗?现阶段,很多30岁左右的人群都面临就业难的问题,...
为什么学习网络安全?网络安全的“钱途”怎么样?
当前,随着互联网技术的普及和日益发展,网络安全已经成为了我们所面临的一个重要问题。网络...
为啥黑客都喜欢盯着远程工作的你企业的员工?
为啥黑客都喜欢盯着远程工作的你企业的员工?后疫情时代,远程办公逐渐成为很多企业上班的...
什么是渗透测试和安全测试?有什么区别呢?
什么是渗透测试和安全测试?有什么区别呢?很多想入行网络安全的小伙伴们都很容易把渗透测...
土木工程专业想转行,能做什么呢?
最近,盾叔在网上看到很多土木工程专业的人都面临着就业困境。大部分人觉得自己专业受限...
网络安全里的通用解决方案是什么
什么是通用解决方案?通用解决方案其实是一种综合网络措施。有检测企业内部的邮件、MSN、Q...
湖北武汉网络安全培训中心-渗透测试教程-网盾科技推荐就业
网络安全绝不是简单安装一个杀毒软件就可以解决的。在阻断病毒的过程中,网络攻击会不断升...
黑客以800美元的价格出售5000万条莫斯科司机数据记录
据bleepingcomputer网站报道,黑客正在某地下论坛出售一个包含5000万条莫斯科司机数据记录的数据库,售价800美元。据购买该数据库的俄罗斯媒体称,他们购买了一小部分样本,显示数据所示年份在 2006 年至 2019 年之间,某些内...
低薪男孩该知道的那些真香新职业
低薪男孩该知道的那些真香新职业在我国,想要赚钱,永远都只有一个途径,跟着政策走。近几年,疫...
学习网络安全需要学密码学吗?
学习网络安全需要学密码学吗?在网络安全领域,管理员利用各种安全方法(包括硬件和软件解决...
二维码骗局该如何防范?
去年就有研究人员发现了一种新的网络钓鱼活动,该活动利用二维码将受害者重定向到网络钓鱼登陆页面,有效规避了旨在阻止此类攻击的安全解决方案和控制措施。比如去年针对法国的网络钓鱼攻击背后的攻击者就是使用了二维码...
最大规模的数据泄露发生,黑客拿这些数据会干嘛?
前段时间,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄...
网络安全学什么专业能做网络安全工程师?
网络安全学什么专业能做网络安全工程师?网络安全工程师现在已经成为GJ战略型资源,成为众多...
网盾安全学院“国风班”来袭!汉服与科技碰撞,用侠客精神书写不一样的“网安江湖”
曾梦想仗剑走天涯很多人都有这样一段相同的经历,儿时看着武侠剧,听着那句侠之大者,为国为民...
网约车钓鱼执法可以反制,网络钓鱼你躲得过吗
昨天看到一则搞笑的视频。6月11号,哈尔滨一男子搭乘网约车的时候,要抽烟,被司机制止了。然...
高考出分了,想读信息安全的看这篇就够了
今天,各省高考分数线陆续公布,很多考生都已查到了成绩。不管你们现在的心情是喜是悲,分数的...
新型蓝牙攻击来势汹汹,该如何应对
新型蓝牙攻击来势汹汹,该如何应对什么是蓝牙攻击?蓝牙攻击是指黑客或攻击者利用蓝牙技术中...
怎样高效开展网络安全事件调查
怎样高效开展网络安全事件调查作者:时间:2023-08-08 15:21:29网络安全培训 网络安全...
加息潮来袭,物价持续上涨,当代年轻人该如何挣大钱?
今年是万物截涨的一年,很多网友都在吐槽:“汽油的价格越涨越高,都不敢开车了。平时经常吃...
警惕!美国中情局主战网络攻击武器曝光,网络安全问题成最关键
近期,美国通过网络对全球进行监控窃密的又一主战装备曝光,这一主战装备即为美国中央情报局...
如何防范社会工程学攻击
社会工程学,一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸多...
设计专业想转行,做什么工作前景好,更赚钱?
由于设计行业的竞争越来越大,逐渐趋于饱和状态,导致在所有行业里是内卷最严重的行业。再...
网络安全学习必须了解的操作系统和工具
网络安全学习必须了解的操作系统和工具在网络安全专业领域,工具至关重要。网络安全专家、...
都说Python语言就业发展方向广泛,与网络安全相比哪个前景更大?
都说Python语言就业发展方向广泛,与网络安全相比哪个前景更大?随着国家的政策的推进,“互...
企业网络安全防护措施合集,你漏了吗?
我们经常看到报纸或者资讯新闻上又爆出某某公司又被黑客袭击啦,勒索多少多少的,诶盾叔只能...
网络安全有哪些岗位?
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用...
什么是数据安全管理工程师
什么是数据安全管理工程师数据安全管理工程师是网络安全大方向下网络安全运行与维护岗的...
靶机渗透之Me And My GirlFrends
靶机渗透之Me And My GirlFrends官网下载:http://www.vulnhub.com/entry/me-and-my-girl...
鸿蒙系统将于6.2日晚8点正式上线,你要更新的鸿蒙系统安全吗?
鸿蒙系统将于6.2日晚8点正式上线鸿蒙系统,终于要揭开神秘的面纱,站到历史的风口浪尖上了。...
麦当劳系统被攻击,韩国和台湾地区的客户信息遭泄露
6月11日,麦当劳披露了一起数据泄露事件,该事件影响了其美国、韩国和台湾地区的相关员工和...
ChatGPT发生重大宕机事故,竟是这个原因
ChatGPT发生重大宕机事故,竟是这个原因OpenAI前脚科技春晚炸翻全球,后脚自家院子却没能守...
移动安全产品和企业有哪些
移动安全泛指以移动化为核心,把端点安全、数据安全、业务安全融合在一起。随着5G网络架构...
什么是攻击研判分析工程师
什么是攻击研判分析工程师攻击研判分析工程师是网络安全大方向下网络安全应急与防御岗的...
2020网络安全逆势而动
2020年,全球地缘政治冲突多发,各国经济问题凸显。全球网络空间态势日趋复杂。人工智能、区...
安全行业资料泄露:企业该如何保护源码?
这是有史以来最大范围的一次源代码泄露。微软、Adobe、联想、AMD、高通、联发科、通用电...
郑州留住高学历人才的最好方式竟然是“烂尾楼”?
郑州最近可谓是解救唐山公安局于水火啊,红码事件还没结果,又来个最高学历楼盘烂尾的热搜。...
为何越来越多的程序员纷纷转行网络安全?
目前,我国IT行业的人才结构不断升级,公司对程序员的要求越来越高,出现了大量的裁员现象,导致...
34万个人隐私遭泄露,受害者漠不关心,却将网络安全推上就业热门
据悉,截至2021年12月,我国网民规模达10.32亿,较2020年12月增长4296万,互联网普及率达73.0%。...
vlunhub的dc-2靶机笔记
1.官网下载任务目标:拿到4个flag.txt文件2.使用vbox虚拟机导入3.使用kali进行扫描arp-sc...
怎么挑选一家真正好的网络安全培训机构?
目前网络安全行业火热,无论是刚毕业的大学生还是有一定经验的it从业者,都希望成为一名网...
隐秘的战争:中国网络安全发展大事记
隐秘的战争:中国网络安全发展大事记今年,黑客和网络攻击这两个词频频出现在我们的视野中。...
2023网络安全遇裁员潮 那还要不要学网安?
2023网络安全遇裁员潮 那还要不要学网安?一边裁员一边又说人才缺口巨大,史上最拧巴的行业...
罗翔的六句话,送给纠结要不要学网络安全的你
罗翔的六句话 送给纠结要不要学网络安全的你昨天在知乎看到这么一个回答,那种张口就来,没...
全球数百万用户恐遭信息泄露,罪魁祸首竟是“它”
近日,安全研究人员发现,MICODUS MV720 GPS设备存在诸多高风险漏洞,数百万用户分布在世界169...
什么是算力?网络安全是算力的保障
近期,中国工程院院士郑纬民在其发布的文章中提出一个观点:算力是数字经济的新引擎,算力的强...
等保2.0涉及的Apache Tomcat中间件(上)
这里就谈谈等保2.0要求,对应到Apache Tomcat中间件的一些条款要求。安装步骤略过,我们直接...
网络安全小白应该读哪些书
《WEB攻防之业务安全实战指南》这本书盾叔认为是一本网络安全小白必读的书目,从原理到案...
苹果设备不断要求输入APPLEID 密码是闹哪出?还安全吗?
4月16日,据多位苹果用户反映,他们的设备不断要求输入 Apple ID 密码,即使输入了正确的密码...
数据泄露的受害者们过得怎么样?财务情况、情感和身体状况
将近 30%的受害者受到多种身份凭证泄露的影响。过去,我们更多地关注着数据泄露对于企业造...
浓情腊八,倾囊相送:5天速成白帽子黑客9.9领取
5天速成白帽子黑客课程大纲:一、网络安全入坑指南;二、网络安全发展史;三、TCP/IP协议栈;四...
交行一储户近43万元被盗走,人脸识别漏洞成作案工具
最近,交通银行人脸识别漏洞被攻破造成的账户资金盗刷的事件,备受大众关注。究竟是什么情况...
孩子要去学网络安全,网络安全行业前景好吗?
毕业季,盾叔最近接待了很多学生家长来咨询网络安全学习的问题。家长们最主要关注三点:什么...
严重损害网络安全有效性的4个误区
6月5日,2023年Gartner安全与风险管理峰会在美国马里兰州正式开幕。在峰会开幕演讲中,Gart...
无数苹果用户被盗刷 究竟是人性的扭曲还是黑客技术的进步?
一个小时被刷了5万、十几分钟被盗2万4,20分钟被盗刷1万4、凌晨四点香港异地登录被盗刷1...
这九种常见的恶意软件 企业一定要防
这九种常见的恶意软件 企业一定要防恶意软件是旨在破坏 IT 系统、泄露私人信息或以某种...
什么是攻击取证与溯源分析工程师
什么是攻击取证与溯源分析工程师攻击取证与溯源分析工程师是网络安全大方向下网络安全应...
如何30天零基础入门网络安全?自学网络安全有哪些缺点?
网络安全的前景如何,盾叔已经说过很多遍了,今天专题是替一些想入门网络安全,但还迷茫不知所...
重磅 | 【 2021中国白帽子调查报告】正式发布
“白帽子”是一群维护互联网秩序的安保人员。他们掌握高超的专业技能,致力于迅速识别安全...
一文解释清楚网络安全中二进制安全和逆向工程
一文解释清楚网络安全中二进制安全和逆向工程作者:时间:2023-08-16 16:58:29网络安全培训...
网络安全培训机构排名
一提到网络安全培训机构,总会有一部分人跳出来说这一行培训劝退,建议自学。盾叔经过分析后...
网络安全运维分为哪些类别?
运维是网络安全中最复杂的工种,不同的行业、不同的工作事项、不同的工作环境等等,都可以衍...
- 数据加载中,请稍后...