下面是小编帮大家整理的linux中centos被入侵后的检查linux操作系统(共含5篇),希望对大家有所帮助。同时,但愿您也能像本文投稿人“小Yozoh”一样,积极向本站投稿分享好文章。
本文章来给大家介绍一款linux中centos被入侵后的检查记录,主分是分析用户登录日志,用户密码权限,及一些目录的php文件有没有变化等,希望对各位同学所有帮助
检查用户登录记录
more /var/log/secure
who /var/log/wtmp
检查系统守护进程
检查/etc/inetd.conf文件,输入:cat /etc/inetd.conf | grep –v “^#”,输出的信息就是你这台机器所开启的远程服务,
一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
检查网络连接和监听端口
输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。
输入netstat –rn,查看本机的路由、网关设置是否正确。
输入 ifconfig –a,查看网卡设置。
检查系统日志
命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现syslog被非法动过,那说明有重大的入侵事件。
在linux下输入ls –al /var/log
在solaris下输入 ls –al /var/adm
检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法
干了些什么?
root账户下输入history
能看到这个用户历史命令,默认最近的1000条
.拨掉网线
这是最安全的断开链接的方法,除了保护自己外,也可能保护同网段的其他主机.
2.分析登录文件信息,搜索可能入侵的途径
被入侵后,决不是重新安装就可以了,还要分析主机被入侵的原因和途径,如果找出了问题点,就可能使您的主机以后更安全,同时也提高了自己的Linux水平.
如果不知道如何找出入侵途径,下次还有可能发生同样的事.一般:
1.分析登录文件:可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞.一般分析的文件为:/var/log/messages和/var/log/secure文件.还可以使用last命令找出最后一个登录者的信息.
2.检查主机开放的服务:很多Linux管理员不知道自己的主机上开放了多少服务,每个服务都有漏洞或不该启动的增强型或测试型功能.找出系统上的服务,逐个检查服务是否有漏洞或设置上的失误.
3.重要数据备份
所谓重要的数据就是非Linux上的原有数据.如/etc/passwd,/etc/shadow,WWW网页的数据,/home里的用户文件,至于/etc/*,/usr/,/var等目录下的数据就不要备份了.
4.系统重装
重要的是选择合适的包,不要将所有的包都安装.
5.包漏洞修补
安装后,要立即更新系统包,更新后再设置防火墙机制,同时关闭一些不必要的服务,最后才插上网线.
6.关闭或卸载不需要的服务
启动的服务越少,系统入侵的可能性就越底
7.数据恢复与恢复服务设置
备份的数据要复制回系统,然后将提供的服务再次开放.
8.将主机开放到网络上
查找Centos Linux服务器上入侵者的WebShell后门
服务器被挂马或被黑的朋友应该知道, 入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell 就可以干更多的事 情,
网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
find /var/webroot -name “*.php” -mtime -10
命令说明:
/var/webroot为网站根目录
-name “*.php”为查找所有php文件
-time -10为截止到现在10天
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可 以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字 (eval,shell_exec,passthru,popen,system)查找方法如下:
find /var/webroot -name “*.php” |xargs grep “eval” |more
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
find /var/webroot -name “*.php” |xargs grep “passthru” |more
当然你还可以导出到文件,下载下来慢慢分析:
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件
linux中CentOS 世界与本地时间同步,有需要的朋友可参考后下,
先使用date命令查看CentOS的时间是不是对,date -R 查看时区是否正确。
使用时间同步前首先确定是不是安装过ntp服务,查看命令”yum list | grep ntp”,没有则输入”yum install ntp -y”即可。
临时手动时间同步的命令是”ntpdate cn.pool.ntp.org”,注:ntpdate后面的是时间服务器,你也可以使用中国国家授时中心的地址”210.72.145.44″。得到准确的时间后,使用”hwclock -w”来更新ROM时间。
设置自动时间同步使用crontab来实现,输入”vi /etc/crontab”添加如下内容:
代码如下复制代码30 21 * * * root /usr/sbin/ntpdate cn.pool.ntp.org && /sbin/hwclock -w
含义是每天的晚上21点30分自动同步时间,再写入ROM。
附上crontab的文件格式:分钟(0-59) 小时(0-23) 日期(1-31) 月份(1-12) 周(0-7) user command
与本地设置的时间服务器同步
首先需要先选出1台机器做服务器
在这个服务器上打开配置文件
代码如下复制代码vi /etc/ntp.conf把restrict default kod nomodify notrap nopeer noquery
restrict -6 default default kod nomodify notrap nopeer noquery
#掉不用
下面添加
代码如下复制代码restrict default nomodify noquery notraprestrict 本机的IP地址 mask 本机的子网掩码 nomodify
保存退出
代码如下复制代码service ntpd start服务器就运行了
之后需要同步的机器只需要按照同步世界服务器一样的方法就可以了 只需要把域名改成你的服务器的IP地址就行了~
LINUX tar命令可对对gz bz2 tgz z等众多压缩文件的压缩了,下面我整理了几个常用的在linux中压缩解压的例子,有兴趣的朋友可进入参考,
tar
格式: tar [选项] [文件目录列表]
功能: 对文件目录进行打包备份
选项:
-c 建立新的归档文件
-r 向归档文件末尾追加文件
-x 从归档文件中解出文件
-O 将文件解开到标准输出
-v 处理过程中输出相关信息
-f 对普通文件操作
-z 调用gzip来压缩归档文件,与-x联用时调用gzip完成解压缩
-Z 调用compress来压缩归档文件,与-x联用时调用compress完成解压缩
范例:
#范例一:将整个 /etc 目录下的文件全部打包成为 /tmp/etc.tar
tar -cvf /tmp/etc.tar /etc <==仅打包,不压缩!
tar -zcvf /tmp/etc.tar.gz /etc <==打包后,以 gzip 压缩
tar -jcvf /tmp/etc.tar.bz2 /etc <==打包后,以 bzip2 压缩
# 特别注意,在参数 f 之后的文件档名是自己取的,我们习惯上都用 .tar 来作为辨识。
# 如果加 z 参数,则以 .tar.gz 或 .tgz 来代表 gzip 压缩过的 tar file ~
# 如果加 j 参数,则以 .tar.bz2 来作为附档名啊~
# 上述指令在执行的时候,会显示一个警告讯息:
# 『tar: Removing leading `/' from member names』那是关於绝对路径的特殊设定。
#范例二:查阅上述 /tmp/etc.tar.gz 文件内有哪些文件?
tar -ztvf /tmp/etc.tar.gz
# 由于我们使用 gzip 压缩,所以要查阅该 tar file 内的文件时,
# 就得要加上 z 这个参数了!这很重要的!
#范例三:将 /tmp/etc.tar.gz 文件解压缩在 /usr/local/src 底下
cd /usr/local/src
tar -zxvf /tmp/etc.tar.gz
# 在预设的情况下,我们可以将压缩档在任何地方解开的!以这个范例来说,
# 我先将工作目录变换到 /usr/local/src 底下,并且解开 /tmp/etc.tar.gz ,
# 则解开的目录会在 /usr/local/src/etc 呢!另外,如果您进入 /usr/local/src/etc
# 则会发现,该目录下的文件属性与 /etc/ 可能会有所不同喔!
#范例四:在 /tmp 底下,我只想要将 /tmp/etc.tar.gz 内的 etc/passwd 解开而已
cd /tmp
tar -zxvf /tmp/etc.tar.gz etc/passwd
# 我可以透过 tar -ztvf 来查阅 tarfile 内的文件名称,如果单只要一个文件,
# 就可以透过这个方式来下达!注意到! etc.tar.gz 内的根目录 / 是被拿掉了!
#范例五:将 /etc/ 内的所有文件备份下来,并且保存其权限!
tar -zxvpf /tmp/etc.tar.gz /etc
# 这个 -p 的属性是很重要的,尤其是当您要保留原本文件的属性时!
#范例六:在 /home 当中,比 /06/01 新的文件才备份
tar -N '2005/06/01' -zcvf home.tar.gz /home
#范例七:我要备份 /home, /etc ,但不要 /home/dmtsai
tar --exclude /home/dmtsai -zcvf myfile.tar.gz /home/* /etc
#范例八:将 /etc/ 打包后直接解开在 /tmp 底下,而不产生文件!
cd /tmp
tar -cvf - /etc | tar -xvf -
# 这个动作有点像是 cp -r /etc /tmp 啦~依旧是有其有用途的!
# 要注意的地方在於输出档变成 - 而输入档也变成 - ,又有一个 | 存在~
# 这分别代表 standard output, standard input 与管线命令啦!
# 这部分我们会在 Bash shell 时,再次提到这个指令跟大家再解释???br />
#范例九:解压到指定的目录
tar -zxvf /home/images.tar.gz -C /specific dir
#范例十:解包到指定的目录
tar xvf filename.tar -C /specific dir
linux中CentOS 5.5 下修改Apache默认端口80 有需要的朋友可参考一下,
打开 /etc/httpd/conf/httpd.conf 文件
修改两个地方
代码如下复制代码#Listen 12.34.56.78:80Listen 80
#把80改为你设置的端口,我设置端口为8080
代码如下复制代码Listen 8080
NameVirtualHost *:80
#把80改为你设置的端口,我设置端口为8080
代码如下复制代码NameVirtualHost *:8080保存修改,退出,
代码如下复制代码semanage port -a -t http_port_t -p tcp 8080 #输入这个命令 要不httpd 会启动失败。/etc/rc.d/init.d/httpd start #启动httpd
最后再防火墙里面加上8080端口的设置
根据最新的 攻击方法显示,如果在IIS的站点属性打开了“写入”权限,则被黑是轻而易举的事,而之前动易给大家讲的使用方法中,要求大家打开网站所在文件夹的“写入”权限,很多用户以为是在IIS中打开,这是错误的,这样做的结果就是让 利用写入权限上传任意文件,
而IIS中的“写入权限”则一定要关闭!这样的设置已经可以确保数据库是可以更新,可以生成HTML,可以刷新JS文件等所有正常操作。
补充一下:
动易主机业务的所有用户不需要担心这个问题,因为我们在配置服务器时,所有站点默认都是关闭了“写入”权限的。
★ unix/linux中显示文件权限代码linux操作系统
★ linux中shell截取字符串方法总结linux操作系统
★ linux中配置安装redis方法介绍linux操作系统
★ 被伤后励志的句子
