色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

排查Linux機器被入侵的11個步驟

馬哥Linux運維 ? 來源:未知 ? 作者:胡薇 ? 2018-08-08 14:42 ? 次閱讀

隨著開源產品的越來越盛行,作為一個Linux運維工程師,能夠清晰地鑒別異常機器是否已經被入侵了顯得至關重要,個人結合自己的工作經歷,整理了幾種常見的機器被黑情況供參考。

背景信息:以下情況是在CentOS 6.9的系統中查看的,其它Linux發行版類似。

1.入侵者可能會刪除機器的日志信息,可以查看日志信息是否還存在或者是否被清空,相關命令示例:

2.入侵者可能創建一個新的存放用戶名及密碼文件,可以查看/etc/passwd及/etc/shadow文件,相關命令示例:

3.入侵者可能修改用戶名及密碼文件,可以查看/etc/passwd及/etc/shadow文件內容進行鑒別,相關命令示例:

4.查看機器最近成功登陸的事件和最后一次不成功的登陸事件,對應日志“/var/log/lastlog”,相關命令示例:

5.查看機器當前登錄的全部用戶,對應日志文件“/var/run/utmp”,相關命令示例:

6.查看機器創建以來登陸過的用戶,對應日志文件“/var/log/wtmp”,相關命令示例:

7.查看機器所有用戶的連接時間(小時),對應日志文件“/var/log/wtmp”,相關命令示例:

8.如果發現機器產生了異常流量,可以使用命令“tcpdump”抓取網絡包查看流量情況或者使用工具”iperf”查看流量情況。

9.可以查看/var/log/secure日志文件,嘗試發現入侵者的信息,相關命令示例:

10.查詢異常進程所對應的執行腳本文件

a.top命令查看異常進程對應的PID

b.在虛擬文件系統目錄查找該進程的可執行文件

11.如果確認機器已經被入侵,重要文件已經被刪除,可以嘗試找回被刪除的文件。

1>當進程打開了某個文件時,只要該進程保持打開該文件,即使將其刪除,它依然存在于磁盤中。這意味著,進程并不知道文件已經被刪除,它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外,這個文件是不可見的,因為已經刪除了其相應的目錄索引節點。

2>在/proc 目錄下,其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域,所以這些文件和目錄并不存在于磁盤中,因此當我們對這些文件進行讀取和寫入時,實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲于以進程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件,它們可以使得應用程序簡單地了解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關于內核內部狀態的信息來產生其輸出。所以lsof 可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。

3>當系統中的某個文件被意外地刪除了,只要這個時候系統中還有進程正在訪問該文件,那么我們就可以通過lsof從/proc目錄下恢復該文件的內容。

假設入侵者將/var/log/secure文件刪除掉了,嘗試將/var/log/secure文件恢復的方法可以參考如下:

a.查看/var/log/secure文件,發現已經沒有該文件。

b.使用lsof命令查看當前是否有進程打開/var/log/secure,

c.從上面的信息可以看到 PID 1264(rsyslogd)打開文件的文件描述符為4。同時還可以看到/var/log/ secure已經標記為被刪除了。因此我們可以在/proc/1264/fd/4(fd下的每個以數字命名的文件表示進程對應的文件描述符)中查看相應的信息,如下:

d.從上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢復的數據。如果可以通過文件描述符查看相應的數據,那么就可以使用I/O重定向將其重定向到文件中,如:

e.再次查看/var/log/secure,發現該文件已經存在。對于許多應用程序,尤其是日志文件和數據庫,這種恢復刪除文件的方法非常有用。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • Linux
    +關注

    關注

    87

    文章

    11292

    瀏覽量

    209330

原文標題:排查Linux機器是否已經被入侵

文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    Linux編程時遇到Oops提示該如何排查

    各位工程師在Linux下開發程序時,有沒有遇到由于系統中存在某些小故障而跳出了“Oops”提示的情況,此時你是如何排查故障?一行行的查看代碼嗎?其實不用那么復雜,本文將為你介紹一種高效的Linux編程的故障排除方法。
    的頭像 發表于 11-28 16:52 ?9054次閱讀
    <b class='flag-5'>Linux</b>編程時遇到Oops提示該如何<b class='flag-5'>排查</b>?

    Linux SSH遠程管理故障如何排查

    SSH遠程管理故障排查方案:1、檢測兩機器是否暢通  兩機器之間是否暢通,查看物理鏈路是否有問題(網線網卡、IP是否正確)  第1步:物
    發表于 07-25 16:45

    Linux SSH遠程管理故障如何排查

    SSH遠程管理故障排查方案:1、檢測兩機器是否暢通  兩機器之間是否暢通,查看物理鏈路是否有問題(網線網卡、IP是否正確)  第1步:物
    發表于 11-30 17:40

    linux運維怎么排查

    linux運維排查常用命令(開發專享)
    發表于 11-11 06:34

    分布式多步驟入侵場景建模及其抽象描述

    本文從入侵檢測的角度提出了一種完全非集中方式,將分布式多步驟入侵場景建模為分布于保護網絡系統中多個節點上的檢測子任務序列。本文基于巴科斯范式對分布式多
    發表于 09-03 08:57 ?8次下載

    Linux的安裝步驟

    Linux的安裝步驟下面我們介紹Linux的安裝。各種Linux發行版本的安裝各有不同,但是卻大同小異。總的來說,除了國產的Linux以外,
    發表于 01-18 09:57 ?913次閱讀

    建立一方法和套路來對 Load 高問題排查

    講解 Linux Load 高如何排查的話題屬于老生常談了,但多數文章只是聚焦了幾個點,缺少整體排查思路的介紹。所謂 “授人以魚不如授人以漁"。本文試圖建立一方法和套路,來幫助讀者對
    的頭像 發表于 12-28 14:18 ?5466次閱讀
    建立一<b class='flag-5'>個</b>方法和套路來對 Load 高問題<b class='flag-5'>排查</b>

    解析Linux如何判斷自己的服務器是否入侵的檢測方法

    如何判斷自己的服務器是否入侵了呢?僅僅靠兩只手是不夠的,但兩只手也能起到一些作用,我們先來看看UNIX系統上一些入侵檢測方法,以LINUX和solaris為例。
    的頭像 發表于 01-13 10:27 ?6002次閱讀

    Linux:QEMU調試內核的步驟

    Linux:QEMU調試內核的步驟
    的頭像 發表于 06-23 09:03 ?3146次閱讀
    <b class='flag-5'>Linux</b>:QEMU調試內核的<b class='flag-5'>步驟</b>

    如何鑒別Linux服務器是否入侵

    隨著開源產品的越來越盛行,作為一Linux運維工程師,能夠清晰地鑒別異常機器是否已經入侵了顯得至關重要,個人結合自己的工作經歷,整理了幾
    的頭像 發表于 03-16 10:08 ?1298次閱讀

    Windows主機入侵痕跡排查辦法

    一般情況下,客戶資產都比較多,想要對所有的資產主機進行入侵痕跡排查基本不太現實,等你全部都排查完了,攻擊者該做的事早就做完了,想要的目的也早就達到了。那么針對客戶資產量大的情況,我們應該怎么處理?
    的頭像 發表于 03-18 09:24 ?2213次閱讀

    11步驟完美排查linux機器是否已經入侵

    當進程打開了某個文件時,只要該進程保持打開該文件,即使將其刪除,它依然存在于磁盤中。這意味著,進程并不知道文件已經被刪除,它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外,這個文件是不可見的,因為已經刪除了其相應的目錄索引節點。
    的頭像 發表于 03-13 10:53 ?4758次閱讀

    常用linux網絡排查命令

    今天浩道跟大家分享linux網絡運維中常見的命令,掌握好這些命令,在排查故障時將會游刃有余!
    發表于 06-25 10:49 ?807次閱讀

    PLC故障排查步驟

    故障排查對于PLC非常重要,下面是一般的PLC故障排查步驟: (1)收集信息:首先,收集有關故障的詳細信息,包括故障現象、故障發生時間、相關設備和傳感器的狀態等。這有助于更好地了解問題,并縮小
    的頭像 發表于 11-17 09:01 ?1938次閱讀

    服務器入侵現象、排查和處理步驟

    近期有一朋友的服務器(自己做了網站)好像遭遇了入侵,具體現象是: 服務器 CPU 資源長期 100%,負載較高。 服務器上面的服務不能正常提供服務。
    發表于 03-22 10:56 ?1115次閱讀
    服務器<b class='flag-5'>入侵</b>現象、<b class='flag-5'>排查</b>和處理<b class='flag-5'>步驟</b>
    主站蜘蛛池模板: 久久中文字幕无线观看| 欧美日韩看看2015永久免费| 暖暖 免费 高清 日本视频大全| 全文都是肉高h文| 亚洲精品免费在线视频| 91国内精品久久久久免费影院| 宫交拔不出来了h黑人| 久久精品99国产精品日本| 热99re久久精品国产首页| 亚洲视频精品| 成人免费视频在线| 久久久久婷婷国产综合青草| 三级黄色高清视频| 中文字幕精品AV内射夜夜夜| 国产精品xxxav免费视频| 美女久久久| 亚洲国产精品嫩草影院永久| nu77亚洲综合日韩精品| 精品久久久爽爽久久久AV| 涩涩伊人久久无码欧美| 2017最新伦理伦理片67| 国产午夜精品一区二区三区| 欧美精品专区免费观看| 亚洲这里只有精品| 国产精品7777人妻精品冫| 内射少妇36P亚洲区| 亚洲一区在线观看无码欧美| 公粗挺进了我的密道在线播放贝壳| 麻豆Av国产在线播放| 亚洲精品91| 跪趴式啪啪GIF动态图27报| 欧美激情精品久久久久久不卡| 亚洲无吗精品AV九九久久| 国产精品第十页| 热久久伊大人香蕉网老师| 中国字字幕在线播放2019| 寂寞护士中文字幕 mp4| 翁用力的抽插| 达达兔午夜一级毛片| 嫩小性性性xxxxbbbb| 中文国产成人精品久久免费|