通常系統(tǒng)中木馬或者病毒后會(huì)有各種各樣的特征
異常特征:
1.網(wǎng)絡(luò)流量
2.異常進(jìn)程
3.消耗資源杭朱,如占用CPU题造、內(nèi)存、硬盤讀寫
針對(duì)異常将鸵,使用適當(dāng)?shù)拿钸M(jìn)行排查。這里以網(wǎng)絡(luò)接口為例流量為例
1佑颇、查看通信端口
查找異常通信的端口顶掉、IP,并記錄PID和program name
netstat -ano
netstat -tnpl
掌握lsof挑胸、ps命令
2痒筒、確定進(jìn)程路徑
Linux在啟動(dòng)一個(gè)進(jìn)程時(shí),系統(tǒng)會(huì)在/proc下創(chuàng)建一個(gè)以PID命名的文件夾茬贵,在該文件夾下會(huì)有我們的進(jìn)程的信息凸克,其中包括一個(gè)名為exe的文件即記錄了絕對(duì)路徑,通過ll或ls –l命令即可查看闷沥。
ls -lha /proc/PID
cwd符號(hào)鏈接的是進(jìn)程運(yùn)行目錄;
exe符號(hào)連接就是執(zhí)行程序的絕對(duì)路徑;
cmdline就是程序運(yùn)行時(shí)輸入的命令行命令;
environ記錄了進(jìn)程運(yùn)行時(shí)的環(huán)境變量;
fd目錄下是進(jìn)程打開或使用的文件的符號(hào)連接萎战。
(1)獲取進(jìn)程的pid,然后使用命令ls -l /proc/${pid}舆逃,這個(gè)命令可以列出該進(jìn)程的啟動(dòng)位置蚂维。
(2)/usr/sbin/lsof | grep ${進(jìn)程名稱} 這個(gè)命令也能列出進(jìn)程的啟動(dòng)位置。
3路狮、殺死進(jìn)程
kill -9 PID
這個(gè)版本是我自己的一些思考虫啥,不全后續(xù)會(huì)不斷補(bǔ)充。
1奄妨、cat /etc/passwd 未發(fā)現(xiàn)陌生用戶和可疑root權(quán)限用戶涂籽。
2、netstat -anp 查看所有進(jìn)程及pid號(hào)砸抛,未發(fā)現(xiàn)異常連接评雌。
3树枫、last 查看最近登錄用戶,未發(fā)現(xiàn)異常
4景东、cat /etc/profile 查看系統(tǒng)環(huán)境變量砂轻,未發(fā)現(xiàn)異常
5、ls -al /etc/rc.d/rc3.d 斤吐,查看當(dāng)前級(jí)別下開機(jī)啟動(dòng)程序搔涝,未見異常(有一些臉生,只好利用搜索引擎了)
6和措、crontab -l 檢查計(jì)劃任務(wù)庄呈,root用戶和web運(yùn)行用戶各檢查一遍,未見任何異常
7派阱、cat /root/.bashrc 和 cat /home/用戶/.bashrc 查看各用戶變量抒痒,未發(fā)現(xiàn)異常
8、查看系統(tǒng)日志颁褂。主要是/var/log/messages(進(jìn)程日志)故响、/var/log/wtmp(系統(tǒng)登錄成功日志 who /var/log/wtmp)、/var/log//bmtp(系統(tǒng)登錄失敗日志)颁独、/var/log/pureftpd.log(pureftpd的連接日志)彩届,未發(fā)現(xiàn)異常(考慮到了可能的日志擦除,重點(diǎn)看了日志的連續(xù)性誓酒,未發(fā)現(xiàn)明顯的空白時(shí)間段)
9樟蠕、history 查看命令歷史。cat /home/用戶/.bash_history 查看各用戶命令記錄靠柑,未發(fā)現(xiàn)異常
10寨辩、系統(tǒng)的查完了,就開始查web的歼冰。初步查看各站點(diǎn)修改時(shí)間靡狞,繼而查看各站點(diǎn)的access.log和error.log(具體路徑不發(fā)了 ),未發(fā)現(xiàn)報(bào)告時(shí)間前后有異常訪問隔嫡。雖有大量攻擊嘗試甸怕,未發(fā)現(xiàn)成功。
11腮恩、日志分析完畢梢杭,查找可能存在的webshell。方法有兩個(gè)秸滴,其一在服務(wù)器上手動(dòng)查找武契;其二,將web程序下載到本地使用webshellscanner或者web殺毒等軟件進(jìn)行查殺≈渌簦考慮到站點(diǎn)較多届垫,數(shù)據(jù)量大,按第一種方法來钧排。 在linux上查找webshell基本兩個(gè)思路:修改時(shí)間和特征碼查找敦腔。 特征碼例子:find 目錄 -name ".php"(asp均澳、aspx或jsp) |xargs grep "POST[(特征碼部分自己添加)" |more 修改時(shí)間:查看最新3天內(nèi)修改的文件恨溜,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 當(dāng)然也可以將兩者結(jié)合在一起,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name ".php" 的確查找到了一些停用的站點(diǎn)下有webshell
轉(zhuǎn)載的:http://www.cnblogs.com/ericyuan/p/4211352.html
