应急响应笔记

Linux应急

SSH

查看SSH是否正在被爆破

查看成功登录的用户及ip

1
2
3
4
5
last

grep "Accepted " /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'

grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

查看成功失败的用户

1
lastb | less

查看爆破root用户的ip及时间

1
2
3
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

grep "Failed password" /var/log/auth.log|tail -10

查看爆破的用户名

1
grep "Failed password" /var/log/auth.log|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

查看系统账号

查看是否有与root权限相当的用户

1
awk -F: '$3==0{print $1}' /etc/passwd

可以远程登录的帐号信息

1
awk '/\$1|\$6/{print $1}' /etc/shadow

保护措施

1、修改SSh端口,禁止root登陆

2、禁用密码登陆,仅用证书密钥登陆

3、限制ip登录

短连接

一段小脚本来捕捉短连接对应的pid和源文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
#!/bin/bash
ip=118.184.15.40
i=1
while :
do
tmp=`netstat -anplt|grep $ip|awk -F '[/]' '{print $1}'|awk '{print $7}'`
#echo $tmp
if test -z "$tmp"
then
((i=i+1))
else
for pid in $tmp; do
echo "PID: "${pid}
result=`ls -lh /proc/$pid|grep exe`
echo "Process: "${result}
kill -9 $pid
done
break
fi
done
echo "Total number of times: "${i}

挖矿病毒

病毒一般偏号

挖矿木马最偏爱的端口号依次为3333、8008、8080。

进程名一般不规则

会有异常的下载进程

病毒发现及溯源

1、查看服务器的状态,可以topvmstat命令,命令详解vmstat命令详解

2、查看crontab定时计划

3、查看对应进程id的文件

4、查看sh脚本

真实案例

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录

Kthrotlds挖矿病毒详细分析报告

-------------本文结束感谢您的阅读-------------