Maison  >  Article  >  Opération et maintenance  >  Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

Linux中文社区
Linux中文社区avant
2023-08-03 14:52:371895parcourir

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

Avec la popularité croissante des produits open source, en tant qu'ingénieur d'exploitation et de maintenance Linux, il est crucial de pouvoir identifier clairement si la machine anormale a Surtout, sur la base de ma propre expérience professionnelle, j'ai compilé plusieurs situations courantes dans lesquelles des machines sont piratées pour référence :
Informations générales : la situation suivante a été observée sur un système CentOS 6.9 et d'autres distributions Linux sont similaires. .

1

La intrus peut supprimer les informations du journal de la machine, vous pouvez vérifier si les informations du journal existent toujours ou si elles ont été effacées. 2 L'intruspeut créer un nouveau fichier pour stocker les noms d'utilisateur et les mots de passe

Vous pouvez afficher les fichiers /etc/passwd et /etc/shadow, exemples de commandes associées :

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


3

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


4

Voir le dernier événement de connexion réussie et le dernier événement de connexion infructueux de la machine

correspondant au log "/var/log/lastlog" , exemple de commande associé :

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


5

Afficher tous les utilisateurs actuellement connectés à la machine

correspondant au fichier journal "/var/run/utmp", exemples de commandes associées :

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


6Affichez les utilisateurs connectés depuis la création de la machine

correspondant au fichier journal "/var/log/wtmp", exemples de commandes associées :

De plus, c'est ainsi que vous devez rechercher des comptes Linux officiels. Répondez « git books » dans le backend et recevez un paquet cadeau surprise.

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


7

Afficher le temps de connexion (heures) de tous les utilisateurs de la machine

correspondant au fichier log "/var/log/wtmp", exemples de commandes associées :

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


8

Sivous constatez que la machine génère un trafic anormal

Vous pouvez utiliser la commande "tcpdump" pour capturer les paquets réseau afin de visualiser la situation du trafic ou utiliser l'outil "iperf" pour voir la situation du trafic


9

Vous pouvez consulter le fichier /var/log/securelog

Essayez de découvrir les informations de l'intrus, exemples de commandes associées :

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


10

Interrogez le fichier de script d'exécution correspondant au processus anormal

commande a.top pour afficher le PID correspondant au processus anormal

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

b Recherchez le processus dans. le répertoire du système de fichiers virtuel Fichier exécutable Suivez la communauté chinoise Linux

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


11

S'il est confirmé que la machine a été envahie et que des fichiers importants ont été supprimés, vous pouvez essayer de récupérer les fichiers supprimés. Remarque :
1. ouvert, même s'il est supprimé et qu'il existe toujours sur le disque. Cela signifie que le processus ne sait pas que le fichier a été supprimé et qu'il peut toujours lire et écrire dans le descripteur de fichier qui lui a été attribué lors de son ouverture. Ce fichier n'est visible que par le processus car son inode de répertoire correspondant a été supprimé.
2. Dans le répertoire /proc, il contient divers fichiers reflétant le noyau et l'arborescence des processus. Le répertoire /proc monte une zone mappée en mémoire, donc ces fichiers et répertoires n'existent pas sur le disque, donc lorsque nous lisons et écrivons ces fichiers, nous les obtenons en fait de la mémoire. La plupart des informations liées à lsof sont stockées dans des répertoires nommés d'après le PID du processus. Autrement dit, /proc/1234 contient des informations sur le processus avec le PID 1234. Différents fichiers existent dans chaque répertoire de processus qui permettent aux applications de comprendre facilement l'espace mémoire du processus, les listes de descripteurs de fichiers, les liens symboliques vers les fichiers sur le disque et d'autres informations système. Le programme lsof utilise ces informations ainsi que d'autres informations sur l'état interne du noyau pour produire sa sortie. Par conséquent, lsof peut afficher des informations telles que le descripteur de fichier et le nom de fichier associé au processus. Autrement dit, nous pouvons trouver des informations pertinentes sur le fichier en accédant au descripteur de fichier du processus.
3. Lorsqu'un fichier du système est accidentellement supprimé, tant qu'il y a encore des processus dans le système accédant au fichier à ce moment-là, nous pouvons restaurer le contenu du fichier à partir du répertoire /proc via lsof.
En supposant que l'intrus a supprimé le fichier /var/log/secure, la méthode pour tenter de restaurer le fichier /var/log/secure peut être la suivante :

a. /secure, il s'avère que le fichier n'existe plus

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

b Utilisez la commande lsof pour vérifier s'il existe actuellement un processus d'ouverture /var/log/secure,

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

.
c. À partir des informations ci-dessus, vous pouvez voir que le descripteur du fichier ouvert par le PID 1264 (rsyslogd) est 4. Vous pouvez également voir que /var/log/secure a été marqué comme supprimé. Par conséquent, nous pouvons afficher les informations correspondantes dans /proc/1264/fd/4 (chaque fichier nommé numériquement sous fd représente le descripteur de fichier correspondant au processus), comme suit :

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

d D'en haut. Il ressort des informations que vous pouvez récupérer les données en consultant /proc/1264/fd/4. Si vous pouvez afficher les données correspondantes via le descripteur de fichier, vous pouvez utiliser la redirection d'E/S pour les rediriger vers le fichier, par exemple :

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis

Vérifiez à nouveau /var/log/secure et trouvez que The. le fichier existe déjà. Cette méthode de récupération de fichiers supprimés est très utile pour de nombreuses applications, notamment les fichiers journaux et les bases de données.

Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis


Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer