<加强安全(二)>Linux可疑日志分析整理-华盟网

<加强安全(二)>Linux可疑日志分析整理

华盟学院山东省第二期线下学习计划

Hello,大家好,我是Lionel,距离2018还不到10天了,回忆起2017公司的大事件深有感慨。年底了,小偷也要挣钱回家过年了。网络中黑客也在蠢蠢欲动,为了防止公司的服务器被入侵,我还是一个一个上去看看有没有可疑的问题吧。让同事踏踏实实的过个好年。

分几个思路来查服务器是否有被入侵的嫌疑。
1.查看系统用户
2.查看用户登录时间和IP
3.查询使用过的命令
4.分析登录IP
5.分析命令中是否有敏感命令

OK,我们现在开始。

 

1.首先查看系统中的用户
cat /etc/passwd | grep /bin/bash
这个命令运行出来,一般都是root用户,你要是有别的用户,除了你自己加的,别的就有些可疑了,虽然没有最高权限,但是也要看看是什么问题。
2.登录用户和登录时候用的IP
一般这个日志有很多行,要一行一行的看,所以我选择导出这个log文件。
who /var/log/wtmp > /root/name.txt
导出wtmp文件到root目录下的name.txr文件。
这个目的只是方便看。

 

嗯,数据量有点大,我们有几百个CDN节点,看吧。累死我了。

3.查询历史命令
这个很简单
history
除非黑客把你历史命令删了。
4.分析登录IP
这个在上面打码的,就是登录的IP。在ipip.net或ip138.com查查是不是自己用的IP,或者记得登录IP的一对就知道了。数据量有点大,累死我了。
5.分析历史命令
看看是不是自己或者同事输入过的命令,如果有可疑下载文件那就要小心了。
www.idc126.com

这个就是基本查询的方式,如果黑客把这些清除了,还是很难查的。历史命令被清了肯定是可疑机器。

好了,我继续忙了,这个就是基本查询Linux是否被入侵的方法。
本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论