入侵排查聽
(1)首先我们要做的就是恢复一些我们常用的用来排查的工具,比如,ls,ps,netstat,lsof等命令。
/root/chattr -i -a /bin/ps && rm /bin/ps -f聽 聽 #删除这些可能被感染的命令,比如ps,ls,netstat,lsof,top等。可以通过ls -lh /bin/ps 查看这些命令的大小和正常程序是否一致
接下来可以找一个相同操作系统的的ps,ls, netstat,lsof命令,将这些命令复制到被感染的系统中,临时使用。聽
(2)其次我们需要对系统做一个全面检查
a.检查系统日志聽
检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况)聽
注:此时last命令也有可能变得不可靠,需要检查
b.检查系统用户
查看是否有异常的系统用户聽
[root@bastion-IDC ~]# cat /etc/passwd
查看是否产生了新用户,UID和GID为0的用户聽
[root@bastion-IDC ~]# grep “0” /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户聽
[root@bastion-IDC ~]# ls -l /etc/passwd
查看是否存在特权用户聽
[root@bastion ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd
查看是否存在空口令帐户聽
[root@bastion ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow
c.检查异常进程
top聽 #仔细检查异常进程pid
ls -l /proc/pid/exe 查看异常进程命令所在地
kill -9 970聽 #杀掉这个进程之后发现根本不管用,春风吹又生,又从/usr/bin/转移到/bin,再又转移到/tmp.这个时候必须注意倒病毒后台有监控进程,进程死掉了之后,立马又重新起来一个新的进程。
3、更多异常文件的发现
(1)查看定时任务文件crontab -l 并没有发现什么一次,查看/etc/crontab发现异常脚本gcc.sh。聽
(2)然后查看系统启动文件rc.local然后进入/etc/init.d目录查看,发现比较奇怪的脚本文件DbSecuritySpt、selinux。聽
第一个文件可以看出他就是开机启动那个异常文件的,第二个应该和登录有关,具体我还不是很清楚,反正肯定是有问题的。聽
既然和登录有关,那就找和ssh相关的,找到了下面的一个文件,是隐藏文件,这个也是木马文件,我们先记录下来,这样程序名字都和我们的服务名字很相近,就是为了迷惑我们,他们的大小都是1.2M,他们有可能是一个文件。聽
我有看了一下木马喜欢出现的目录/tmp,也发现了异常文件,从名字上感觉好像是监控木马程序的。聽
下载仅供下载体验和测试学习,不得商用和正当使用。
下载体验