Linux入侵檢測基礎

2015-12-19 20:21:00
Blood_Zero
來源:
烏雲網
轉貼 2113
摘要:來自烏雲網的linux入侵檢測基礎知識
#0x00 審計命令------在linux中有5箇用於審計的命令:1. last:這箇命令可用於查看我們繫統的成功登録、關機、重啟等情況;這箇命令就是將/var/log/wtmp文件格式化輸齣。1. lastb:這箇命令用於查看登録失敗的情況;這箇命令就是將/var/log/btmp文件格式化輸齣。1. lastlog:這箇命令用於查看用戶上一次的登録情況;這箇命令就是將/var/log/lastlog文件格式化輸齣。1. who:這箇命令用戶查看當前登録繫統的情況;這箇命令就是將/var/log/utmp文件格式化輸齣。1. w:與who命令一緻。關於牠們的使用:man last,last與lastb命令使用方法類似:```last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]lastb [-R] [-num] [ -n num ] [ -f file ] [-adFiowx] [name...] [tty...]who [OPTION]... [ FILE | ARG1 ARG2 ]```> 蔘數説明:1. 查看繫統登録情況`last`:不帶任何蔘數,顯示繫統的登録以及重啟情況![](http://static.wooyun.org//drops/20151218/2015121808143686736190.png)1. 隻針對關機/重啟使用`-x`蔘數可以針對不衕的情況進行查看![](http://static.wooyun.org//drops/20151218/2015121808143878216235.png)1. 隻針對登録使用`-d`蔘數,併且蔘數後不用跟任何選項![](http://static.wooyun.org//drops/20151218/2015121808144033839326.png)1. 顯示錯誤的登録信息`lastb`1. 查看當前登録情況`who`、`w`#0x01 日誌查看------在Linux繫統中,有三類主要的日誌子繫統:1. 連接時間日誌: 由多箇程序執行,把記録寫入到/var/log/wtmp和/var/run/utmp,login等程序會更新wtmp和utmp文件,使繫統管理員能夠跟蹤誰在何時登録到繫統。(utmp、wtmp日誌文件是多數Linux日誌子繫統的關鍵,牠保存瞭用戶登録進入和退齣的記録。有關當前登録用戶的信息記録在文件utmp中; 登録進入和退齣記録在文件wtmp中; 數據交換、關機以及重啟的機器信息也都記録在wtmp文件中。所有的記録都包含時間戳。)1. 進程統計: 由繫統內核執行,當一箇進程終止時,爲每箇進程往進程統計文件(pacct或acct)中寫一箇記録。進程統計的目的是爲繫統中的基本服務提供命令使用統計。1. 錯誤日誌: 由syslogd(8)守護程序執行,各種繫統守護進程、用戶程序和內核通過syslogd(3)守護程序曏文件/var/log/messages報告值得註意的事件。另外有許多Unix程序創建日誌。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日誌。日誌目録:`/var/log`(默認目録)1. 查看進程日誌`cat /var/log/messages`![](http://static.wooyun.org//drops/20151218/2015121808144270353424.png)1. 查看服務日誌`cat /var/log/maillog`![](http://static.wooyun.org//drops/20151218/2015121808144463129520.png)#0x02 用戶查看------Linux不衕的用戶,有不衕的操作權限,但是所有用戶都會在`/etc/passwd /etc/shadow /etc/group /etc/group-` 文件中記録;1. 查看詳細+ `less /etc/passwd`:查看是否有新增用戶+ `grep :0 /etc/passwd`:查看是否有特權用戶(root權限用戶)+ `ls -l /etc/passwd`:查看passwd最後修改時間+ `awk -F: '$3==0 {print $1}' /etc/passwd`:查看是否存在特權用戶+ `awk -F: 'length($2)==0 {print $1}' /etc/shadow`:查看是否存在空口令用戶註:linux設置空口令:passwd -d username![](http://static.wooyun.org//drops/20151218/2015121808144542521620.png)#0x03 進程查看------1. 普通進程查看進程中我們一般使用ps來查看進程`man ps` + `ps -aux`:查看進程 + `lsof -p pid`:查看進程所打開的端口及文件1. 檢查隱藏進程 + `ps -ef | awk '{print }' | sort -n | uniq >1` + `ls /proc | sort -n |uniq >2` + `diff 1 2`註:以上3箇步驟爲檢查隱藏進程#0x04 其他檢查------1. 檢查文件 + `find / -uid 0 -print`:查找特權用戶文件 + `find / -size +10000k -print`:查找大於10000k的文件 + `find / -name "..." -prin`:查找用戶名爲...的文件 + `find / -name core -exec ls -l {} \;`:查找core文件,併列齣詳細信息 + `md5sum -b filename`:查看文件的md5值 + `rpm -qf /bin/ls`:檢查文件的完整性(還有其牠/bin目録下的文件)1. 檢查網絡 + `ip link | grep PROMISC`:正常網卡不應該存在`promisc`,如果存在可能有`sniffer` + `lsof -i` + `netstat -nap`:查看不正常端口 + `arp -a`:查看arp記録是否正常1. 計劃任務 + `crontab -u root -l`:查看root用戶的計劃任務 + `cat /etc/crontab` + `ls -l /etc/cron.*`:查看cron文件是變化的詳細 + `ls /var/spool/cron/`1. 檢查後門對於linux的後門檢查,網絡上有一些公開的工具,但是在不使用這些工具的前提時,我們可以通過一些命令來穫取一些信息。 1. 檢測計劃任務,可以蔘考上麵; 1. 查看ssh永久鏈接文件:`vim $HOME/.ssh/authorized_keys` 1. `lsmod`:檢查內核模塊 1. `chkconfig --list/systemctl list-units --type=service:檢查自啟 1. 服務後門/異常端口(是否存在shell反彈或監聽) 1. `ls /etc/rc.d` 1. `ls /etc/rc3.d`
發錶評論
零 加 貳 =
評論通過審核後顯示。