原文连接

Linux后门排查_山山而川’的博客-CSDN博客_linux后门排查

文件排查
查看开机启动项,是否存在可疑启动项

systemctl list-unit-files |grep enabled

查看历史命令记录
history|more

more /root/.bash_history
但是,当我们执行上面那两条历史命令的时候就会发现,结果不一样,history的内容比.bash_history多。因为bash执行命令时不是马上把命令名称写入.bash_history文件的,而是存放在内部的buffer中,等bash退出时会一并写入。所以此时就会发现.bash_history没有记录当前历史记录的问题,而history马上对操作进行了记录。不过,可以调用history -w命令要求bash立即更新history文件。

特殊权限文件查找
查找最高权限的文件

find -name *.jsp -perm 777
进程排查
查看是否存在可疑网络连接

netstat -antpl|more

日志排查
常用日志文件

/var/log/message 包括整体系统信息
/var/log/auth.log 含系统授权信息,包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/vsftpd.log 记录Linux FTP日志
/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否
/var/log/wtmp 记录登录系统成功的账户信息,等同于命令last
/var/log/faillog 记录登录系统不成功的账号信息,一般会被黑客删除(为二进制文件不能直接查看)

linux系统相关配置文件为 /etc/rsyslog.conf

last

last命令用于查询成功登陆到系统的用户记录。最近的登录情况将显示在最前面。通过last命令可以及时掌握linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机已被入侵。如下登录没有问题

lastb

lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。

  1. 如下,我自己直接在终端进行登录,使用错误的用户名或者密码进行登录,都被记录了
  1. ssh爆破

对于ssh登录也会进行记录

tty:终端设备的统称。tty1~6是文本型控制台,tty7是图形显示管理器。

lastlog

lastlog即/var/log/lastlog,查看某系统用户最后一次登录的记录,如果新建了一个用户,用该用户进行了登录,然后再将该用户删除,则lastlog记录中不会进行记录!!

入侵检测工具——GScan
优秀安全检测项目-linux
下载地址:https://github.com/grayddq/GScan

GScan:程序定位为安全 人员提供的一项入侵检测工具,旨在尽可能的发现入侵痕迹,溯源出黑客攻击的整个路径。
chkrootkit:程序定位为安全人员提供的一项入侵检测工具,旨在发现被植入的后门或者rootkit。
rkhunter:程序定位为安全人员提供的一项入侵检测工具,旨在发现被植入的后门或者rootkit。
lynis:程序定位为安全人员日常使用的一款用于主机基线和审计的工具,可辅助漏洞扫描和配置管理,也可部分用于入侵检测
GScan

使用方法:python3 GScan.py