排查Linux机器是否已被入侵

来自--马哥Linux运维

1.入侵者可能会删除机器的日志信息 ，可以查看日志信息是否存在后者被清除

[root@zklf-server02 ~]# ll -h /var/log/
total 3.4M
drwxr-xr-x. 2 root   root    204 Nov 28 22:24 anaconda
drwx------. 2 root   root     80 Feb 14 10:50 audit
-rw-------. 1 root   utmp      0 Feb  1 03:24 btmp
-rw-------. 1 root   utmp      0 Jan  2 09:40 btmp-20190201
drwxr-xr-x. 2 chrony chrony    6 Apr 13  2018 chrony
-rw-------. 1 root   root    56K Feb 18 15:15 cron


[root@zklf-server02 ~]# du -sh /var/log/*
2.2M    /var/log/anaconda
29M    /var/log/audit
0    /var/log/btmp
0    /var/log/btmp-20190201
0    /var/log/chrony
56K    /var/log/cron

2.入侵者可能创建一个新的文件存放用户名和密码

[root@zklf-server02 ~]# ll /etc/pass*
-rw-r--r--. 1 root root 1532 Dec 16 19:26 /etc/passwd
-rw-r--r--. 1 root root 1466 Dec 16 19:25 /etc/passwd-

3.可能会修改用户名和密码

[root@zklf-server02 ~]# tail -5 /etc/passwd
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
samba:x:1002:1002::/home/samba:/sbin/nologin
mysql:x:1003:1003::/home/mysql:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
memcached:x:994:992:Memcached daemon:/run/memcached:/sbin/nologin

[root@zklf-server02 ~]# tail -5 /etc/shadow
smmsp:!!:17871::::::
samba:!!:17871:0:99999:7:::
mysql:!!:17878:0:99999:7:::
tss:!!:17881::::::
memcached:!!:17881::::::

4.查看机器最近成功登陆事件和最后一次登陆不成功的事件

[root@zklf-server02 ~]# lastlog 
Username         Port     From             Latest
root             pts/0                     Mon Feb 18 15:12:30 +0800 2019
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**

5.查看机器当前登陆的全部用户，对应的日志文件  /var/run/utmp

[root@zklf-server02 ~]# who
zklf     pts/0        2019-02-18 15:12 (192.168.10.208)

6.查看机器创建以来登陆过的用户，对应的日志文件 "/var/log/wtmp"

zklf     pts/0        192.168.10.208   Mon Feb 18 15:12   still logged in   
zklf     pts/0        192.168.10.208   Wed Feb 13 13:56 - 15:50  (01:53)    
zklf     pts/1        192.168.10.208   Thu Jan 24 08:58 - 09:45  (00:46)    
zklf     pts/0        192.168.10.208   Tue Jan 22 08:34 - 10:02 (2+01:28)   
zklf     pts/0        192.168.10.208   Thu Jan 17 13:23 - 17:49  (04:25)    

7.查看机器所有用户的连接事件(小时)，对应的日志文件 “/var/log/wtmp”

ac -dp

8.如果发现机器产生了异常流量，可以使用tcpdump抓取网络包，使用nethogs可查看实时流量

9.可以查看/var/log/secure 日志文件，尝试发现入侵者的信息

[root@zklf-server02 ~]# cat /var/log/secure |grep -i 'accepted password'
Feb 18 15:12:16 zklf-server02 sshd[10441]: Accepted password for zklf from 192.168.10.208 port 49493 ssh2
Feb 18 16:17:11 zklf-server02 sshd[11758]: Accepted password for zklf from 192.168.10.208 port 50978 ssh2

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

11951 root      20   0  162012   2308   1592 R   0.3  0.0   0:00.11 top      

b.在虚拟文件系统目录寻找对应的可执行文件

[root@zklf-server02 ~]# ll /proc/11951/ |grep -i exe
lrwxrwxrwx. 1 zklf zklf 0 Feb 18 16:25 exe -> /usr/bin/top