目錄

1.黑客入侵后的利用思路

2.入侵排查思路

2.1.賬號安全

2.1.1.用戶信息文件/etc/passwd

2.1.2.影子文件/etc/shadow

2.1.3.入侵排查

2.1.3.1.排查當(dāng)前系統(tǒng)登錄信息

2.1.4.2.查詢可以遠(yuǎn)程登錄的賬號信息

2.2.歷史命令

2.2.1.基本使用

2.2.1.1.root歷史命令

2.2.1.2.打開/home各賬號目錄下的.bash_history，查看普通賬號的歷史命令

2.2.1.3.歷史操作命令清除

2.2.2.入侵排查

2.3.檢查異常端口

2.4.檢查異常進(jìn)程

2.5.檢查開機(jī)啟動項

2.5.1.基本使用

2.5.1.1.系統(tǒng)運(yùn)行級別示意圖

2.5.1.3.開機(jī)啟動配置文件

2.5.1.4.腳本開機(jī)自啟案例

2.5.2.入侵排查

2.6.檢查定時任務(wù)

2.6.1.使用crontab創(chuàng)建計劃任務(wù)

2.6.1.1.基本命令

2.6.1.2.利用anacron實現(xiàn)異步定時任務(wù)調(diào)度

2.6.2.入侵排查

2.7.檢查服務(wù)

2.7.1.服務(wù)自啟動

2.7.1.1.第一種修改方法

2.7.1.2.第二種修改方法

2.7.2.入侵排查

2.8.檢查異常文件

2.9.1.linux系統(tǒng)日志默認(rèn)存放路徑

2.9.2.常見服務(wù)的日志文件路徑

2.9.3.日志分析技巧

2.9.3.1.定位有多少IP在爆破主機(jī)的root賬號

2.9.3.2.登錄成功的IP有哪些

2.9.3.3.增加一個用戶kali日志

3.1.Rootkit查殺

3.1.1.chkrootkit

3.1.1.1.下載

3.1.1.2.使用方法

3.1.2.rkhunter

3.1.2.1.下載

3.1.2.2.使用方法

3.2.病毒查殺clamav

3.2.1.下載地址

3.2.2.安裝

3.2.2.1.安裝方式1

3.2.2.2.安裝方式2

3.3.webshell查殺

3.4.linux安裝檢查腳本

---

1.黑客入侵后的利用思路

黑客入侵后的利用思路可以包括以下幾個方面：

1. 篡改網(wǎng)頁：查找對應(yīng)網(wǎng)站首頁文件路徑、查看文件時間、內(nèi)容。
2. 創(chuàng)建超級用戶：查看password、shadow文件時間、內(nèi)容；查看登錄成功時間和不成功事件查看機(jī)器當(dāng)前登錄的全部用戶；查看機(jī)器創(chuàng)建以來登陸過的用戶；查看機(jī)器所有用戶的連接時間(小時)；查看歷史命令；查看ssh遠(yuǎn)程連接情況：黑客刪除登錄日志文件（rm -rf /var/log/secure）、防守者恢復(fù)被黑客刪除的文件（lsof grep /var/log/secure）
3. 挖礦：查詢異常進(jìn)程所對應(yīng)的執(zhí)行腳本文件 ，top命令查看異常進(jìn)程對應(yīng)的PID
4. 內(nèi)網(wǎng)滲透：攻擊者利用防守：反彈shell、植入cs/ms木馬；防守思路：查看異常流量；使用tcpdump抓取網(wǎng)絡(luò)包查看流量情況

2.入侵排查思路

2.1.賬號安全

2.1.1.用戶信息文件/etc/passwd

檢查是否存在異常用戶或未知用戶。

關(guān)注用戶權(quán)限設(shè)置，特別是特權(quán)用戶（如root）。

root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用戶名:密碼:用戶ID:組id:用戶說明:家目錄:登陸之后shell
注意：無密碼只允許本機(jī)登錄，不允許遠(yuǎn)程登錄

2.1.2.影子文件/etc/shadow

影子文件存儲了用戶的加密密碼信息。

檢查密碼字段是否被篡改或存在異常。

注意：直接查看/etc/shadow文件需要root權(quán)限，且出于安全考慮，通常不會直接顯示密碼哈希值。

root:$6$oGLFhf899ckdeMC2p3ZetrE$X485ouEWFSEmSgsWEH78423UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用戶名:加密密碼:密碼最后一次修改日期:兩次密碼的修改時間間隔：密碼有效期：密碼修改到期到警告天數(shù)：密碼過期之后的寬限天數(shù)：賬號失效時間：保留

2.1.3.入侵排查

2.1.3.1.排查當(dāng)前系統(tǒng)登錄信息

使用who或w命令查看當(dāng)前登錄用戶。

awk文本處理工具，用于模式掃描和處理語言

who   		#查看當(dāng)前登錄用戶（tty表示本地登錄，pts遠(yuǎn)程登錄）
w     		#查看系統(tǒng)信息，想知道某一時刻用戶的行為
uptime  	#查看登錄多久、多少用戶、負(fù)載

awk -F: '$3==0{print $1}' /etc/passwd

-F來指定分隔符,默認(rèn)的字段分隔符是任意空白字符(空格或者TAB)
awk的數(shù)據(jù)字段變量：$0表示整行文本$1表示文本中第一個數(shù)據(jù)字段$2表示文本中第二個數(shù)據(jù)字段$n表示文本中第n個數(shù)據(jù)字段awk的用-F來指定分隔符
awk命令的完整語法：awk ‘BEGIN{commands}pattern{commands}END{commands}’ file1BEGIN是處理數(shù)據(jù)前執(zhí)行的命令,END是處理數(shù)據(jù)后執(zhí)行的命令,commands指的是awk里			面的子命令，并不是shell中的mkdir、ls等命令

2.1.4.2.查詢可以遠(yuǎn)程登錄的賬號信息

檢查/etc/ssh/sshd_config文件中的AllowUsers和DenyUsers設(shè)置

grep -E '^AllowUsers|^DenyUsers' /etc/ssh/sshd_config

 awk '/\$1|\$6/{print $1}' /etc/shadow

除root賬號外，其他賬號是否存在sudo權(quán)限，如非管理需要，普通賬號應(yīng)刪除sudo權(quán)限。

 more /etc/sudoers |grep -v "^#|^$" |grep "ALL=(ALL)"

usermod -L user   #禁用賬號，賬號無法登錄，/etc/shadow第二欄為！開頭
userdel user      #刪除user用戶
userdel -r user   #將刪除user用戶，并且將/home目錄下的user目錄一并刪除

2.2.歷史命令

2.2.1.基本使用

2.2.1.1.root歷史命令

history 

使用history命令查看root用戶的歷史命令。

2.2.1.2.打開/home各賬號目錄下的.bash_history，查看普通賬號的歷史命令

為歷史的命令增加登錄的IP地址、執(zhí)行命令時間等信息。將username替換為具體用戶的用戶名。

cat /home/username/.bash_history

2.2.1.3.歷史操作命令清除

清除當(dāng)前shell會話的歷史記錄，要清除所有用戶的歷史記錄，可以刪除每個用戶主目錄下的.bash_history文件。

history -c  #此命令并不會清除保存在文件中的記錄，因此需要手動刪除.bash_profile文件中的記錄

2.2.2.入侵排查

檢查歷史命令中是否存在異常操作，如未知命令、系統(tǒng)修改命令等

進(jìn)入用戶目錄下：

cat .bash_history >> history.txt

2.3.檢查異常端口

使用netstat或ss命令檢查當(dāng)前系統(tǒng)開放的端口，分析可疑端口、ip、PID

netstat -antlp|more
# 或
ss -tuln

關(guān)注非標(biāo)準(zhǔn)端口和未知服務(wù)的端口

2.4.檢查異常進(jìn)程

使用ps命令查看當(dāng)前系統(tǒng)中的進(jìn)程。