?在被黑應急過程中,如果始終找不到黑客是怎么進來舵抹,接下來這幾篇是說如何來應對這種情況。
?首先是文件變動的監(jiān)控劣砍,如果能找到變動的文件,則可以順著變動的文件找到點線索扇救。linux系統(tǒng)的話一般是使用inotify 來監(jiān)控改動的刑枝。linux kernel version >=2.6.13才支持inotify,不過現在應該很少有小于這個版本的服務器了吧迅腔,特別是網絡安全法出來以后装畅,開始注意網絡安全了,版本盡量是最新的沧烈。這里主要使用inotifywait指令來做監(jiān)控掠兄。
看腳本:
#!/bin/bash
inotifywait -dr -o /home/linshi/inotify.out.txt --timefmt '%d/%m/%y %H:%M' --format '%T %w%f %e' -e modify,move,delete,create /data --exclude /data/logs/
tail -f /home/linshi/inotify.out.txt|while read line
do
file=`echo $line|awk '{print $3}'`
cp $file /home/linshi/files/${file##*/}.`date +"%Y-%m-%d-%H-%M-%s-%N"`
netstat -anopt >>/home/linshi/files/${file##*/}.`date +"%Y-%m-%d-%H-%M-%s-%N"`.netstat
done
上面是bash shell 代碼,請先安裝inotify 相關工具锌雀,代碼中/data 是要監(jiān)控的路徑蚂夕,/data/logs是排除監(jiān)控的路徑,監(jiān)控結果寫在/home/linshi/inotify.out里腋逆,然后腳本讀取這個文件婿牍,如果/data下有文件變動,則將變動的文件后面加個時間戳復制到/home/linshi/files/下惩歉,此外將當前的鏈接信息也輸出到這個目錄下等脂,如果需要俏蛮,可以把當前的進程信息,等信息輸出到目錄上遥,記住后面加時間戳搏屑,避免多次輸出覆蓋掉之前的。
下面是監(jiān)控到的信息粉楚,可見黑客可能是通過數據庫寫的后門辣恋,具體信息可以去查看備份的文件,這里就不貼出了解幼。
image
