问题背景

安全人员在日常工作中通常要手工排查 Linux 服务器的安全性，对于中马的服务器，我将其归纳为4个阶段：

1.木马如何传播到服务器上 （Eg：暴力破解系统用户）；

2.木马的目的是什么（Eg：挖矿、DDOS 攻击）；

3.木马怎样清除痕迹（Eg：删除日志和历史命令）；

4.木马如何保持连接（Eg：通过启动项和定时任务）。

本文将从检查用户、日志、文件等十个步骤，通过相关具体命令来讲解如何手工排查 Linux 服务器的安全性。

Linux 常用命令

du -sh *

查看当前文件夹大小

head -n 100 1.log

查看一个大文件的前100行

grep -ri "nameseve" --include="*.php" /

查看文件字符串

free -m

查看系统内存大小

cp 原始文件 目的文件;

cp -r /root/* 目的目录;

复制文件及文件夹

tar -cvf a.tar 原始文件;

压缩文件

tar -xvf a.tar;

tar -xvfz a.tar.gz;

unrar e a.rar;

unzip a.zip

解压文件

lsof -p pid

查看进程

lsof -c 进程名

查看进程所打开的端口及文件

Scp root@x.x.x.x:原始文件夹 目的文件夹;

在当前服务器，将远程服务器文件拷贝到当前

scp 原始文件 root@x.x.x.x:目的文件

把当前文件传到远程服务器上

tcpdump -i eth0 -w eth0.cap -c 100000

本地抓包

kill

杀死进程

chmod

改变文件权限

Sed

本身是一个管道命令，主要是以行为单位进行处理，可以将数据行进行替换、删除、新增、选取等特定工作，删除某行

Uniq

用于报告或忽略文件中的重复行，一般与sort命令结合使用。

Sort

将文件进行排序，并将排序结果标准输出。

Linux服务器应急常用命令及思路

1 检查用户及登入情况

last

last -x reboot

查看重启的记录

last -x shutdown

查看关机的记录

last -d

查看登陆的记录

lastb

这个命令用于查看登录失败的情况，本质就是将 /var/log/btmp 文件格式化输出。

相关参数：

lastb name（root）

查看root用户登陆失败记录

lastb -10（-n）

查看最近10条登陆失败记录

lastlog

这个命令用于查看用户上一次的登录情况，本质就是将 /var/log/lastlog 文件格式化输出。

相关参数：

lastlog

所有用户上一次登陆记录

lastlog -u username（root） root

用户上一次登陆记录

lastlog –help

命令帮助信息

Linux不同的用户有不同的操作权限，但是所有用户都会在 /etc/passwd、/etc/shadow、/etc/group 文件中记录。

less /etc/passwd

查看是否有新增用户

grep :0 /etc/passwd

查看是否有特权用户（root权限用户）

ls -l /etc/passwd

查看passwd最后修改时间

stat  useradd

查看该命令的时间变化，来判断是否有新增用户

cat /etc/passwd  | grep -E "/bin/bash$"

查看能够登录的帐号

2 查看日志信息

/var/log/message

包括整体系统信息

/var/log/auth.log

包含系统授权信息，包括用户登录和使用的权限机制等

/var/log/userlog

记录所有等级用户信息的日志

/var/log/cron

记录crontab命令是否被正确的执行

/var/log/lastlog

记录登录的用户，可以使用命令lastlog查看

/var/log/secure

记录大多数应用输入的账号与密码，登录成功与否

/var/log/wtmp

记录登录系统成功的账户信息，等同于命令last

/var/log/faillog

记录登录系统不成功的账号信息，一般会被黑客删除

检查日志时一定要查看下 root 用户是否有被暴力破解的情况：

grep   -ri   "Fail"   /var/log/secure*

查看失败登入情况

grep  -ri  "accept"   /var/log/secure*

查看成功登入情况

3 查看历史命令

cat   ./bash_history

history  n

通过用户的历史操作命令来排查主机的安全性，可以关注以下四个方面：

① wget 远程某主机（域名&IP）的远控文件；

② 尝试连接内网某主机（ssh scp），便于分析攻击者意图;

③ 打包某敏感数据或代码，tar zip 类命令

④ 对系统进行配置，包括命令修改、远控木马类，可找到攻击者关联信息…

4 查看进程

一般被入侵的服务器都会运行一些恶意程序，或是挖矿程序，或者 DDOS 程序等。如果程序在运行中，那么通过查看进程可以发现一些信息。

*查看普通进程

ps -aux

查看进程（注意uid为0的用户）

top

提供了实时的对系统处理器的状态监视 （尤其是一些挖矿程序会消耗大量资源的）

如果进程中没有发现异常，那么可以看看有没有开启某些隐藏进程。

*查看隐藏进程

ps -ef | awk '{print}' | sort -n | uniq >1

ls /proc | sort -n |uniq >2

diff 1 2

通过以上3个步骤可以检查是否开启了某些隐藏进程。

5 查看文件

攻击者入侵成功后，会将木马上传到一个合适的文件夹下，要求具有可写可执行的权限，/tmp / 文件夹通常是合适的选择，所以可以重点看一下。

被入侵的网站，通常肯定有文件被改动，那么可以通过比较文件创建时间、完整性、文件路径等方式查看文件是否被改动。可以重点查看下相关配置文件，比如 /etc/init.conf。

find / -uid 0 -print

查找特权用户文件

find / -size +10000k -print

查找大于10000k的文件

find / -name "…" -print

查找用户名为…的文件

md5sum -b filename

查看文件的md5值

whereis 文件名

查看文件路径

stat 文件名

查看文件时间修改等详细信息

du -sh  文件名

查看文件大小

find / -atime 2 >  /tmp/1.txt

查看最近两天访问的文件

find / -ctime 2 >  /tmp/1.txt

查看最近两天状态改变的文件(比如文件的权限 所属组信息等)

find / -mtime 2  >  /tmp/1.txt

查看最近两天内容改变的文件

注：find -mtine 2 表示两天以内，find +mtime 2 表示两天以前。

6 查看计划任务

当我们尝试 kill 恶意程序时，往往会遇到被 kill 掉的程序自动启动的问题，那么就要检查下计划任务（cron）了。

crontab -u root -l

cat /etc/crontab

查看root用户的计划任务

ls /var/spool/cron/

ls -l /etc/cron.*

查看cron文件是否变化的详细信息

7 查看启动项

ls /etc/rc.dl

ls –alt /etc/init.d/

系统开机后，此目录下的文件会被启动

8 检查网络

检查网络的目的，是查看黑客是否通过篡改网卡类型，进行流量嗅探等操作。

ip link | grep PROMISC

正常网卡不应该存在promisc，如果存在可能有sniffer

netstat -nap

查看不正常端口

arp -a

查看arp记录是否正常

ifconfig -a

查看网卡设置

9 检查常用命令

有时攻击者会替换掉 ps，netstat 等命令，需要查看下相关命令的大小以及修改的时间。

可以使用stat进行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。

10 查看系统路径

echo $PATH

分析有无敏感可疑信息

以上是我的一些经验总结，对于角度不够全面的地方欢迎大家共同探讨。

本文指令参考：

http://man.linuxde.net/

http://www.cnblogs.com/maifengqiang/p/3863168.html