Linux服务器被入侵后,我们该如何排查隐患
最后更新 :2022.03.05
看了看前几天的内容,发现有几天没有给大家整点干货了,正寻思着给大家整点啥,冥思苦相不得解后,偷偷溜出了办公司,跑去隔壁教学区,准备去旁听一下蹭蹭课,诶,没想到吧,授课老师正在讲Linux服务器入侵。
好的,那我就跟大家说一说Linux服务器被入侵后,我们该如何排查潜在的安全隐患,上课!
1、用户信息文件/etc/passwd

ps:无密码只允许本机登陆,远程不允许登陆
2、影子文件:/etc/shadow

3、查看当前登录用户及登录时长

4、排查用户登录信息
1.查看最近登录成功的用户及信息

2.查看最近登录失败的用户及信息:

3.显示所有用户最近一次登录信息:

在排查服务器的时候,黑客没有在线,可以使用last
命令排查黑客什么时间登录的有的黑客登录时,会将/var/log/wtmp
文件删除或者清空,这样我们就无法使用last命令获得有用的信息了。
在黑客入侵之前,必须使用chattr +a
对/var/log/wtmp
文件进行锁定,避免被黑客删除.
5、sudo用户列表

入侵排查:

通过.bash\_history
文件查看帐号执行过的系统命令:
打开 /home 各帐号目录下的 .bash_history,查看普通帐号执行的历史命令。
为历史的命令增加登录的 IP 地址、执行命令时间等信息:

注意:历史操作命令的清除:history -c
该操作并不会清除保存在文件中的记录,因此需要手动删除.bash\_profile
文件中的记录
检查端口连接情况:

使用 ps 命令,分析进程,得到相应pid号:

查看 pid 所对应的进程文件路径:

分析进程:

查看进程的启动时间点:

根据pid强行停止进程:

注意:如果找不到任何可疑文件,文件可能被删除,这个可疑的进程已经保存到内存中,是个内存进程。这时需要查找PID 然后kill掉。
检查开机启动项:
系统运行级别示意图:

查看运行级别命令:

开机启动配置文件:

启动Linux系统时,会运行一些脚本来配置环境——rc脚本。在内核初始化并加载了所有模块之后,内核将启动一个守护进程叫做init
或init.d
。这个守护进程开始运行/etc/init.d/rc
中的一些脚本。这些脚本包括一些命令,用于启动运行Linux系统所需的服务。
开机执行脚本的两种方法:
(1)在/etc/rc.local的exit 0语句之间添加启动脚本。脚本必须具有可执行权限
(2)用update-rc.d命令添加开机执行脚本
1、编辑修改/etc/rc.local

2、update-rc.d:此命令用于安装或移除System-V风格的初始化脚本连接。脚本是存放在/etc/init.d/
目录下的,当然可以在此目录创建连接文件连接到存放在其他地方的脚本文件。
此命令可以指定脚本的执行序号,序号的取值范围是 0-99,序号越大,越迟执行。
当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d
目录下,然后在/etc/rc.d/rc_.d
文件中建立软链接即可。
语法:update-rc.d 脚本名或服务 <remove|defaults|disable|enable>

开机即执行。

入侵排查:

计划任务排查:
需要注意的几处利用cron的路径:

上面的命令实际上是列出了/var/spool/cron/crontabs/root
该文件的内容:

- /etc/crontab只允许root用户修改
- /var/spool/cron/存放着每个用户的crontab任务,每个任务以创建者的名字命名
- /etc/cron.d/将文件写到该目录下,格式和
/etc/crontab
相同 - /etc/cron.hourly/、
/etc/cron.daily/
、/etc/cron.weekly/
、/etc/cron.monthly/
目录中,让它每小时/天/星期/月执行一次。
小技巧:

入侵排查:重点关注以下目录中是否存在恶意脚本;

入侵排查:
查询已安装的服务:
RPM 包安装的服务:

源码包安装的服务:

异常文件检查:
按照几种方式查找修改的文件:
(1)按照名称

(2)按照文件大小

(3)按照时间查找

(4)根据属主和属组查找:

(5)按照CPU使用率从高到低排序:

(6)按照内存使用率从高到低排序:

补充:
1、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性。
2、得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
可以使用find命令来查找,如find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件。
3、针对可疑文件可以使用 stat 进行创建修改时间。
系统日志检查:
日志默认存放位置:/var/log/
必看日志:secure、history
查看日志配置情况:more /etc/rsyslog.conf



日志分析技巧:

内容很长,还有些枯燥,但是希望大家可以慢慢看完,要是有哪里需要补充的,也随时欢迎大家评论留言,好的,下课!!

- END -
【网络安全基础知识】什么是网络嗅探?基本工作原因是什么?
【网络安全基础知识】什么是网络嗅探?基本工作原因是什么?什么是网络嗅探?网络嗅探需要...
网络安全培训机构排名

一提到网络安全培训机构,总会有一部分人跳出来说这一行培训劝退,建议自学。盾叔经过分析后...
什么是安全运维工程师

什么是安全运维工程师安全运维工程师是网络安全大方向下网络安全运行与维护岗的一个细分...
网络安全工程师必须了解的知识:“三保一评”是什么?

网络安全工程师必须了解的三保一评网络安全保护工作当中的3保1评指的是:分保、等保、关保...
网络安全人才薪资待遇这么好,为什么却成了企业最难留住的员工?

盾叔学院的一批学生在上课时突然问了一个问题:目前市面上网络安全的岗位薪资确实很高,但是...
为什么现在都不爱发朋友圈了

你喜欢发朋友圈吗?原来我的朋友圈总可以看到一些奇奇怪怪的有趣灵魂。有拍照技术不行装逼...
哥斯达黎加遭Conti勒赎软件攻击,Conti是什么?

哥斯达黎加遭Conti勒赎软件攻击,Conti是什么?本月,哥斯达黎加政府旗下多个机关,纷纷遭到Cont...
网络安全工程师与厂商之间的恩怨情仇

大家好,帅帅的盾叔来了,相信很多从事网络安全行业的小伙伴或多或少都跟厂商之间产生过各种...
想转行互联网行业,是选择软件工程还是网络安全?
想转行互联网行业,是选择软件工程还是网络安全?伴随着互联网行业的不断升温,就业方向也逐...
云安全产品和企业有哪些

云安全是我国企业创造的概念,在国际云计算领域独树一帜。云安全(Cloud Security)技术是网络...
什么是ping指令,它的作用是什么?

大家好,我是你们博学的盾叔,今天呢,来给你们上点干货,我们一起来看看ping指令到底是什么,它又...
努力方向对了的张朝阳都做了什么

努力方向对了的张朝阳 都做了什么这两天,一则张朝阳劝年轻人不要努力过头的新闻刷屏,这位...
网络安全难学吗?怎么系统学习网络安全?
学习网络安全需要循序渐进,由浅入深。很多人对网络安全进行了解以后,就打算开始学习网络...
什么是系统安全需求分析师?

什么是系统安全需求分析师?系统安全需求分析师是网络安全大方向下网络安全规划与设计岗方...
学员集体参观网盾数据中心

参观机房,是每一个网安人员学习过程中非常重要的一个环节,通过实际探访,才能对自己的工作有...
什么是数据安全?数据安全因素有哪些

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国...
传承党的精神,吹响先锋号角,七一建党节,听党指挥的网络安全工程师开班了

谁是历史上最伟大的人?人民会说是他,他会说是人民。他,是伟大的党。为人民而生,因人民而兴。...
「网络安全基础知识」什么是SQL注入?SQL注入攻击的原理是什么?
什么是SQL注入?SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者...
什么是安全测试工程师

什么是安全测试工程师安全测试工程师是网络安全大方向下网络安全建设与实施岗的一个细分...
我们的卫星接收器都被攻击了!太空网络安全出问题会怎样?
近期,Cyble Research Intelligence Labs (CRIL) 确定了黑客组织GhostSec参与了以卫星接...
亚马逊暴亏38亿!外贸也遇冷,未来收入高失业率低的行业还有哪些

亚马逊暴亏38亿!外贸也遇冷。未来收入高,失业率低的行业还有哪些?上月底,亚马逊发布了2022...
警惕!美国中情局主战网络攻击武器曝光,网络安全问题成最关键

近期,美国通过网络对全球进行监控窃密的又一主战装备曝光,这一主战装备即为美国中央情报局...
在暗网上分享数百万儿童色情图片的男子被判入狱27年
一名爱尔兰裔美国双重公民因在暗网上分享数百万张描绘儿童、幼儿和婴儿性虐待的图像而被判处27年美国联邦监狱。都柏林居民Eric Eoin Marques于2019年3月23日被引渡到美国,面临2013年8月8日在马里兰州提起的联邦刑事指...
隐秘的战争:中国网络安全发展大事记

隐秘的战争:中国网络安全发展大事记今年,黑客和网络攻击这两个词频频出现在我们的视野中。...
白帽子:SQL注入WAF绕过
SQL注入WAF绕过1 大小写绕过此类绕过不经常使用,但是用的时候也不能忘了它,他原理是基于SQL语句不分大小写的,但过滤只过滤其中一种。2 替换关键字这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union...
什么是闪电贷攻击?
上月,Avalanche上的DeFi平台(“去中心化金融,也被称为“开放式金融”平台)Platypus Finance...
网络安全工程师难学吗?

前几天,又有一批学生从网上慕名而来,咨询到了网盾学院,希望从事网络安全相关的行业,他们是在...
硬干货:下面这些运维工程师Linux指令你都知道吗?(一)

大家好啊,今天盾叔又来给大家科普内容了!什么?说我水文章,不可能!看来是得给你们点颜色看看,不...
老师嘴里必考的网络安全知识点

大家好,盾叔今天又来给大家做干货分享咯,要是大家想了解哪些方面的知识技巧,可以在评论或者...
严重损害网络安全有效性的4个误区
6月5日,2023年Gartner安全与风险管理峰会在美国马里兰州正式开幕。在峰会开幕演讲中,Gart...
「网络安全基础知识」什么是TCP/IP协议?有哪些作用?
什么是TCP/IP协议?TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议...
网约车钓鱼执法可以反制,网络钓鱼你躲得过吗

昨天看到一则搞笑的视频。6月11号,哈尔滨一男子搭乘网约车的时候,要抽烟,被司机制止了。然...
如何做好儿童网络安全教育

今天是《中华人民共和国网络安全法》实施五周年,也是儿童节。那么我们就来谈谈如何保护儿...
干货分享 | linux系统行为新型实时监控技术

导语:主要是从系统日常行为安全的角度分享一种能满足线上部署、能够将进程或文件创建、网...
什么是网络安全“微隔离”技术

微隔离就是把一个无结构无边界的网络分成好多逻辑上的微小网段,以确保每一个网段上只有...
麦当劳系统被攻击,韩国和台湾地区的客户信息遭泄露

6月11日,麦当劳披露了一起数据泄露事件,该事件影响了其美国、韩国和台湾地区的相关员工和...
如果朱棣拥有网络安全部队,大明可能不会亡

如果朱棣拥有网安部队,大明可能不会亡不知道你们有没有看过这些电视剧和文学作品,《大明风...
苹果被黑客“下套”,大量用户数据遭泄露,公司成网络安全受害者

美国彭博社30日援引三位知情人士的话报道称,苹果公司以及脸书(Facebook)母公司Meta去年将用...
零基础自学网络安全就去武汉网络安全培训

很多小伙伴对网络安全进行了解以后,就打算开始自学网络安全,但是又不知道怎么去系统的学习...
谷歌54亿美元收购Mandiant,网络安全人才荒怎么办?

9月12日,Google LLC宣布完成对网络安全领域领导者Mandiant的54亿美元收购交易。Mandiant...
vlunhub的dc-2靶机笔记

1.官网下载任务目标:拿到4个flag.txt文件2.使用vbox虚拟机导入3.使用kali进行扫描arp-sc...
网络安全培训哪家更靠谱?

网络安全培训哪家更靠谱?在回答这个问题之前,我还是要先强调一点:对于大部分网络小白来说,...
什么是网络安全“行业解决方案”?

什么是网络安全行业解决方案?行业解决方案是指由专业咨询机构或个人为某个行业制定的一系...
初入职场,这些PUA手段你必须提前知道

初入职场 这些PUA手段你必须提前知道毕业季又到了,很多人通过春招已经拿到了offer,即将入...
什么是安全服务?安全服务产品的企业有哪些

什么是安全服务?安全服务在不同的领域有不同的意义。在信息安全领域,安全服务指的是加强网...
高考季的永恒话题,年轻人该学什么

今天是高考的第一天。先预祝大家,取得好成绩!提笔的时候,盾叔想起了自己多年来经常重复着高...
汽车网络安全“多管齐下”
全球范围内对于智能汽车的网络安全监管已经进入实质性落地阶段。今年8月,工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》(下称《意见》),其中,汽车数据安全、网络安全、软件升级成为智能网联...
什么是安全取证工程师?

什么是安全取证工程师?首先需要了解什么是网络取证?网络取证是是抓取、记录和分析网络事件...
“黑客帝国”作恶10年!数亿公民隐私“裸奔”,网络安全责任重大

2022年3月以来,360集团连续发布美国国家安全局对全球以及我国进行网络攻击的相关报告,展示...
攻击者隐藏踪迹的5种方式

从受信任的渗透测试工具到LOLBIN(living-off-the-land binaries),攻击者正在通过滥用受信任...
苹果设备不断要求输入APPLEID 密码是闹哪出?还安全吗?
4月16日,据多位苹果用户反映,他们的设备不断要求输入 Apple ID 密码,即使输入了正确的密码...
武汉网络安全培训怎么选机构

近年来,由于政策导向,网络安全培训如雨后春笋一般先后冒出来。各个培训机构的广告铺天盖地...
科技股银行破产 经济危机来临,普通人的出路在哪?
3月10日,美国硅谷银行暴雷。股价单日暴跌60%,宣布关闭。2022年,硅谷银行资产规模为2118亿美...
什么是安全实施工程师

什么是安全实施工程师安全实施工程师是网络安全大方向下网络安全建设与实施岗的一个细分...
厉害的少年黑客有哪些

儿童节 谈谈那些少年黑客吧前不久,彭博社报道,成功入侵并盗走Nvidia、三星及微软内部资料...
网络安全里的通用解决方案是什么

什么是通用解决方案?通用解决方案其实是一种综合网络措施。有检测企业内部的邮件、MSN、Q...
元宇宙带来的网络安全问题:身份匿名性将不复存在
美国加州大学伯克利分校的最新论文表明,未来元宇宙有没有隐私可言,取决于有没有新保障措...
网络安全工程师如何快速入门?哪里能学到网络安全硬核知识?

网络安全前景怎么样,盾叔讲过很多次了,有不少同学专门私信盾叔,希望盾叔讲一讲网络安全工程...
什么是安全开发工程师?

什么是安全开发工程师?安全开发工程师是网络安全大方向下网络安全建设与实施岗的一个细分...
纯小白如何选择网络安全方向

纯小白如何选择网络安全方向我们经常收到的一个问题,纯小白应该如何选择网络安全的方向?的...
VBA清除技术可逃避杀毒软件的检测

VBA清除技术利用VBA的恶意MS Office文档将其VBA代码存储在“复合文件二进制格式”文...
网络安全到底怎么学?网络安全培训哪里最好?最强总结来了!

现在越来越多应届生转行开始学习网络安全了,网络安全工程师成了不少人梦寐以求的职位。那...
什么是防火墙,防火墙有哪些功能

网络安全领域是安全行业最基本的领域,研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸技术...
0基础转行网络安全好就业吗?该如何学习呢?

伴随着网络安全行业的兴起,现已成了近两年的风口行业。如今网络安全行业市场需求非常之大...
零基础网络安全好学吗

零基础网络安全好学吗?这个问题其实很宽泛,网络安全零基础好不好学取决于很多因素,首先是自...
年薪50万+,网络安全岗位太稀缺,这个比黑客更“强”的职业怎样

现如今,新冠疫情已经常态化,它对生活影响的同时,更是导致了行业的两极分化,有的开始消沉倦怠...
物流管理专业转行,做什么工作比较好?
物流管理专业转行,做什么工作比较好?目前,很多物流管理专业毕业的学生由于工作繁琐枯燥,加...
信息安全行业的现状及趋势
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运...
权威统计:全球八成的企业将增招IT和网络安全人员

某权威机构发布了《2022安全能力落差报告》,报告显示,安全能力差距将带给组织多重挑战,包括...
传统行业求职困难,武汉网络安全培训是你转行的机会

近两年,因为疫情以及政策的原因,教培、房地产、互联网、电商等行业裁员潮、降薪潮接踵而至...
年底还找不到工作建议进厂?建议不要听专家的建议,看这篇就有方向了

情叠加经济衰退,今年就业已经成了让政府头疼的一个大问题。一方面一千多万的大学毕业生...
为何越来越多的程序员纷纷转行网络安全?

目前,我国IT行业的人才结构不断升级,公司对程序员的要求越来越高,出现了大量的裁员现象,导致...
一文带你读懂网络安全

大家好,帅帅的叔又来了,相信过了这么久,大家都知道盾叔是做什么的了,每天在后台也会收到很多...
优秀毕业学员访谈——勤奋的华为小哥
网盾优秀学员用最真实经历讲述,选对好的专业与平台有多重要!优秀毕业学员访谈文字版时间:2022年5月19日地点:网盾安全学院李老师:为什么想要转行学网络安全?学员:其实,我年近30 了,以前做过很多其他的工作,去年被一个坏人,把我所...
一级域名与二级域名之间的区别
什么是一级域名一级域名又称为顶级域名,顶级域名又分为两类:一是国家顶级域名,200多个国家都按照ISO3166国家代码分配了顶级域名,例如中国是cn,美国是us,日本是jp等;值得注意的是,www. http://wangdun.cn这种形式的域名并不是...
应急响应、应急响应事件、网络应急响应
一、应急响应1、什么是应急响应应急响应( Incident Response/ Emergency Response )通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对...
网络安全工程师提示你 不要随意把这些东西借给别人

网络安全工程师提示你 不要随意把这些东西借给别人当知根知底的老朋友突然找到你,以工...
转行网络安全好找工作吗?工资高吗?

转行网络安全好找工作吗?工资高吗?随着数字经济的发展,网络安全也逐渐成了大家热门的行...
什么是网络安全中的供应链攻击?
“供应链”这个概念对于不同的行业可以有不同的含义。在网络安全中可以解释为相互链接...
从美国财政预算重点看其网安发展
俗话说,对手钱花在那里,他们的作战重点就在那里。美国白宫公布了 2024 财政年度预算草案,...
移动安全产品和企业有哪些

移动安全泛指以移动化为核心,把端点安全、数据安全、业务安全融合在一起。随着5G网络架构...
郑州留住高学历人才的最好方式竟然是“烂尾楼”?

郑州最近可谓是解救唐山公安局于水火啊,红码事件还没结果,又来个最高学历楼盘烂尾的热搜。...
做网络与基础架构安全产品的企业有哪些

网盾带你了解 那些做网络与基础架构安全产品的企业目前,我国以5G、物联网、云计算、工业...
网络安全工程师都难逃电信诈骗,缅北真的无法无天了吗?

近几天,盾叔就遇到了好几起精准信息诈骗的事情。起因是这样的:有一个号称是贷款三方平台(...
什么是工控安全?工控安全有哪些隐患

工业控制系统的定义工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求,又...
网络安全培训出来为什么好找工作?

盾叔最近看到一个问题,问网络安全培训出来为什么好找工作?在解释这个问题之前,我们应该先要...
网盾带你读好书之——“圣经”《TCP/IP详解卷一》

这本书是TCP/IP领域的经典之作。被称为计算机的圣经书籍,书中主要讲述TCP/IP协议,作者不仅...
黑客以800美元的价格出售5000万条莫斯科司机数据记录
据bleepingcomputer网站报道,黑客正在某地下论坛出售一个包含5000万条莫斯科司机数据记录的数据库,售价800美元。据购买该数据库的俄罗斯媒体称,他们购买了一小部分样本,显示数据所示年份在 2006 年至 2019 年之间,某些内...
数据安全产品和企业有哪些

网盾带你了解那些数据安全产品及企业什么是数据安全?《中华人民共和国数据安全法》中第三...
入门网络安全工程师要学什么

根据最新版网络安全产业人才发展报告发布的信息得到的结论:1、疫情常态化后,国内经济回温,...
什么是代码审计工程师

代码审计工程师是网络安全大方向下网络安全建设与实施岗的一个细分岗位。代码审计,顾名思...
【网络安全基础知识】什么是WireShark?有哪些作用?其抓包原理有哪些?

【网络安全基础知识】什么是WireShark?有哪些作用?其抓包原理有哪些?什么是WireShark?wir...
最大规模的数据泄露发生,黑客拿这些数据会干嘛?
前段时间,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄...
什么是网络安全等级保护咨询师、测评师

什么是网络安全等级保护咨询师、测评师网络安全等级保护咨询师是网络安全合规管理类岗位...
争做时代先锋,用技术捍卫网络领土| 网盾安全学院“堡垒班”正式开班!
“堡垒”是出自于一款网络设备中的硬件服务器——堡垒机。是指在一个特定的网络环境下,...
Hash算法进行签名验签
Hash算法进行签名验签Hash算法哈希算法(Hash 算法,Hash 算式,散列算法,消息摘要算法) :将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。性质...
低薪男孩该知道的那些真香新职业

低薪男孩该知道的那些真香新职业在我国,想要赚钱,永远都只有一个途径,跟着政策走。近几年,疫...
毕业季,计算机专业应届毕业生应该何去何从

近期大学生纷纷进入就业热潮,但对于现阶段的应届毕业生来说找工作是一件特别苦恼的事情,因...
工业工程专业想转行,做什么工作更有前景?
伴随着这几年的经济下行,国家的发展方向也逐渐发生变化。工业工程作为老牌的传统行业,在...
自学黑客要多久?为什么我选择了网盾?

首先,盾叔必须站在学习者的角度来看,如果你是一个已经学过编程,通晓几门语言的人那么这个答...
- 数据加载中,请稍后...