溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關如何進行Linux入侵排查,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
接領導通知明天直接去某公司應急響應,去之后詢問情況得知,發現其中四臺CPU一直爆滿,遠程端口(22)直接映射到外網,密碼是多年來一直位于榜首的123456,這不明擺著被人日穿嗎!!!
首先對公網IP地址進行全端口掃描,這里使用ScanPort,nmap雖然好但是相比之下還是速度慢。掃描結果和客戶給的內網端口映射表不符,詢問客戶后得知應該是路由器緣故導致從內網訪問部分公網端口不通。
使用VPS對公網IP地址進行全端口掃描,這次掃描的結果才符合,使用弱密碼進行登錄服務器成功。已經確定了攻擊源,接下來對服務器進行分析。首先給大家介紹Xshell工具,這個工具可以同時對多臺服務器進行管理。
同時連接到四臺服務器上,使用 top 命令查看占用CPU高的進程。通過對比發現sysmd進程異常。
搜索sysmd文件發現在 /use/bin 下面,查看創建日期為二月份。通過 pstree 命令 sysmd 不依賴任何進程。
通過查看系統日志文件,二月份日志已刪除。
查看歷史命令記錄,發現其中兩臺歷史命令記錄已刪除,在其中一臺上發現對sysmd進行搜索,并且編輯了開機啟動腳本 /etc/rc.local 。
查看網絡鏈接情況,sysmd 分別連接到不同的國外ip地址上。
對其中的一個ip地址進行查詢為發現太坊礦池。
檢查系統用戶文件、密碼文件、用戶家目錄,kernelsys用戶ID為0并不是客戶自己創建的。查看kernelsys用戶登錄日志未發現登錄,查看擁有sudo權限的用戶未發現異常。
檢查開機啟動腳本、計劃任務、開機自啟動服務等,在 rc.lcal 文件中存在sysmd。
通過排查問題大致情況已確認,下載sysmd文件后續進行分析,修改開機啟動腳本刪除sysmd開機自啟動,修改用戶密碼為復雜密碼,禁用kernelsys用戶,刪除sysmd文件的執行權限,重啟觀察服務器運行情況。整理報告!
以上就是如何進行Linux入侵排查,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
