centos 被入侵后的检查

检查用户登录记录

[root@localhost ~]# more /var/log/secure
[root@localhost ~]# who /var/log/wtmp

1.检查用户

[root@localhost ~]# grep :x:0: /etc/passwd

在标准安装的linux中只会出现一行

[root@localhost ~]# root:x:0:0:root:/root:/bin/bash

如果出现多行,那就表示用问题 查看可以登录系统的用户

[root@localhost ~]# cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1

2.用last lastb lastlog history等命令查看一下最近用户登录的情况以及操作命令 并查看/var/log/secure日志

3.强化防火墙 指定你的ip才可以ssh到服务器 确认你的机器没有开启telnet服务 sshd的设置采用密钥认证(如果已经采用密钥认证 重新生成用户密钥) 指定特定用户可以登录

4.mysql用户一般不用来登录吧 把他的shell /bin/bash改成/sbin/nologin

5.检查你的web目录或者数据库看看是不是被注入了新的文件和数据

服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。

先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。假设最后更新是10天前,我们可以查找10天内生成的可以php文件:

[root@localhost ~]# find /var/webroot -name "*.php" -mtime -10

命令说明: /var/webroot为网站根目录 -name "*.php"为查找所有php文件 -time -10为截止到现在10天

如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可 以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字 (eval,shell_exec,passthru,popen,system)查找方法如下:

[root@localhost ~]# find /var/webroot -name "*.php" |xargs grep "eval" |more
[root@localhost ~]# find /var/webroot -name "*.php" |xargs grep "shell_exec" |more
[root@localhost ~]# find /var/webroot -name "*.php" |xargs grep "passthru" |more

当然你还可以导出到文件,下载下来慢慢分析:

[root@localhost ~]# find /home -name "*.php"|xargs grep "fsockopen"|more >test.log

这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件

6.检查所有用户的crontab相关计划任务已经/etc/crontab里的计划任务

7.用nmap扫描机器端口的打开状况(关闭一些不必要的服务 比如portmap 如果用不到 还打开 就增加风险)

8.开启杀毒软件 扫描病毒与木马