目錄

1.黑客入侵后的利用思路

2.入侵排查思路

2.1.賬號(hào)安全

2.1.1.用戶(hù)信息文件/etc/passwd

2.1.2.影子文件/etc/shadow

2.1.3.入侵排查

2.1.3.1.排查當(dāng)前系統(tǒng)登錄信息

2.1.4.2.查詢(xún)可以遠(yuǎn)程登錄的賬號(hào)信息

2.2.歷史命令

2.2.1.基本使用

2.2.1.1.root歷史命令

2.2.1.2.打開(kāi)/home各賬號(hào)目錄下的.bash_history，查看普通賬號(hào)的歷史命令

2.2.1.3.歷史操作命令清除

2.2.2.入侵排查

2.3.檢查異常端口

2.4.檢查異常進(jìn)程

2.5.檢查開(kāi)機(jī)啟動(dòng)項(xiàng)

2.5.1.基本使用

2.5.1.1.系統(tǒng)運(yùn)行級(jí)別示意圖

2.5.1.3.開(kāi)機(jī)啟動(dòng)配置文件

2.5.1.4.腳本開(kāi)機(jī)自啟案例

2.5.2.入侵排查

2.6.檢查定時(shí)任務(wù)

2.6.1.使用crontab創(chuàng)建計(jì)劃任務(wù)

2.6.1.1.基本命令

2.6.1.2.利用anacron實(shí)現(xiàn)異步定時(shí)任務(wù)調(diào)度

2.6.2.入侵排查

2.7.檢查服務(wù)

2.7.1.服務(wù)自啟動(dòng)

2.7.1.1.第一種修改方法

2.7.1.2.第二種修改方法

2.7.2.入侵排查

2.8.檢查異常文件

2.9.1.linux系統(tǒng)日志默認(rèn)存放路徑

2.9.2.常見(jiàn)服務(wù)的日志文件路徑

2.9.3.日志分析技巧

2.9.3.1.定位有多少I(mǎi)P在爆破主機(jī)的root賬號(hào)

2.9.3.2.登錄成功的IP有哪些

2.9.3.3.增加一個(gè)用戶(hù)kali日志

3.1.Rootkit查殺

3.1.1.chkrootkit

3.1.1.1.下載

3.1.1.2.使用方法

3.1.2.rkhunter

3.1.2.1.下載

3.1.2.2.使用方法

3.2.病毒查殺clamav

3.2.1.下載地址

3.2.2.安裝

3.2.2.1.安裝方式1

3.2.2.2.安裝方式2

3.3.webshell查殺

3.4.linux安裝檢查腳本

---

1.黑客入侵后的利用思路

黑客入侵后的利用思路可以包括以下幾個(gè)方面：

1. 篡改網(wǎng)頁(yè)：查找對(duì)應(yīng)網(wǎng)站首頁(yè)文件路徑、查看文件時(shí)間、內(nèi)容。
2. 創(chuàng)建超級(jí)用戶(hù)：查看password、shadow文件時(shí)間、內(nèi)容；查看登錄成功時(shí)間和不成功事件查看機(jī)器當(dāng)前登錄的全部用戶(hù)；查看機(jī)器創(chuàng)建以來(lái)登陸過(guò)的用戶(hù)；查看機(jī)器所有用戶(hù)的連接時(shí)間(小時(shí))；查看歷史命令；查看ssh遠(yuǎn)程連接情況：黑客刪除登錄日志文件（rm -rf /var/log/secure）、防守者恢復(fù)被黑客刪除的文件（lsof grep /var/log/secure）
3. 挖礦：查詢(xún)異常進(jìn)程所對(duì)應(yīng)的執(zhí)行腳本文件 ，top命令查看異常進(jìn)程對(duì)應(yīng)的PID
4. 內(nèi)網(wǎng)滲透：攻擊者利用防守：反彈shell、植入cs/ms木馬；防守思路：查看異常流量；使用tcpdump抓取網(wǎng)絡(luò)包查看流量情況

2.入侵排查思路

2.1.賬號(hào)安全

2.1.1.用戶(hù)信息文件/etc/passwd

檢查是否存在異常用戶(hù)或未知用戶(hù)。

關(guān)注用戶(hù)權(quán)限設(shè)置，特別是特權(quán)用戶(hù)（如root）。

root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用戶(hù)名:密碼:用戶(hù)ID:組id:用戶(hù)說(shuō)明:家目錄:登陸之后shell
注意：無(wú)密碼只允許本機(jī)登錄，不允許遠(yuǎn)程登錄

2.1.2.影子文件/etc/shadow

影子文件存儲(chǔ)了用戶(hù)的加密密碼信息。

檢查密碼字段是否被篡改或存在異常。

注意：直接查看/etc/shadow文件需要root權(quán)限，且出于安全考慮，通常不會(huì)直接顯示密碼哈希值。

root:$6$oGLFhf899ckdeMC2p3ZetrE$X485ouEWFSEmSgsWEH78423UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用戶(hù)名:加密密碼:密碼最后一次修改日期:兩次密碼的修改時(shí)間間隔：密碼有效期：密碼修改到期到警告天數(shù)：密碼過(guò)期之后的寬限天數(shù)：賬號(hào)失效時(shí)間：保留

2.1.3.入侵排查

2.1.3.1.排查當(dāng)前系統(tǒng)登錄信息

使用who或w命令查看當(dāng)前登錄用戶(hù)。

awk文本處理工具，用于模式掃描和處理語(yǔ)言

who   		#查看當(dāng)前登錄用戶(hù)（tty表示本地登錄，pts遠(yuǎn)程登錄）
w     		#查看系統(tǒng)信息，想知道某一時(shí)刻用戶(hù)的行為
uptime  	#查看登錄多久、多少用戶(hù)、負(fù)載

awk -F: '$3==0{print $1}' /etc/passwd

-F來(lái)指定分隔符,默認(rèn)的字段分隔符是任意空白字符(空格或者TAB)
awk的數(shù)據(jù)字段變量：$0表示整行文本$1表示文本中第一個(gè)數(shù)據(jù)字段$2表示文本中第二個(gè)數(shù)據(jù)字段$n表示文本中第n個(gè)數(shù)據(jù)字段awk的用-F來(lái)指定分隔符
awk命令的完整語(yǔ)法：awk ‘BEGIN{commands}pattern{commands}END{commands}’ file1BEGIN是處理數(shù)據(jù)前執(zhí)行的命令,END是處理數(shù)據(jù)后執(zhí)行的命令,commands指的是awk里			面的子命令，并不是shell中的mkdir、ls等命令

2.1.4.2.查詢(xún)可以遠(yuǎn)程登錄的賬號(hào)信息

檢查/etc/ssh/sshd_config文件中的AllowUsers和DenyUsers設(shè)置

grep -E '^AllowUsers|^DenyUsers' /etc/ssh/sshd_config

 awk '/\$1|\$6/{print $1}' /etc/shadow

除root賬號(hào)外，其他賬號(hào)是否存在sudo權(quán)限，如非管理需要，普通賬號(hào)應(yīng)刪除sudo權(quán)限。

 more /etc/sudoers |grep -v "^#|^$" |grep "ALL=(ALL)"

usermod -L user   #禁用賬號(hào)，賬號(hào)無(wú)法登錄，/etc/shadow第二欄為！開(kāi)頭
userdel user      #刪除user用戶(hù)
userdel -r user   #將刪除user用戶(hù)，并且將/home目錄下的user目錄一并刪除

2.2.歷史命令

2.2.1.基本使用

2.2.1.1.root歷史命令

history 

使用history命令查看root用戶(hù)的歷史命令。

2.2.1.2.打開(kāi)/home各賬號(hào)目錄下的.bash_history，查看普通賬號(hào)的歷史命令

為歷史的命令增加登錄的IP地址、執(zhí)行命令時(shí)間等信息。將username替換為具體用戶(hù)的用戶(hù)名。

cat /home/username/.bash_history

2.2.1.3.歷史操作命令清除

清除當(dāng)前shell會(huì)話(huà)的歷史記錄，要清除所有用戶(hù)的歷史記錄，可以刪除每個(gè)用戶(hù)主目錄下的.bash_history文件。

history -c  #此命令并不會(huì)清除保存在文件中的記錄，因此需要手動(dòng)刪除.bash_profile文件中的記錄

2.2.2.入侵排查

檢查歷史命令中是否存在異常操作，如未知命令、系統(tǒng)修改命令等

進(jìn)入用戶(hù)目錄下：

cat .bash_history >> history.txt

2.3.檢查異常端口

使用netstat或ss命令檢查當(dāng)前系統(tǒng)開(kāi)放的端口，分析可疑端口、ip、PID

netstat -antlp|more
# 或
ss -tuln

關(guān)注非標(biāo)準(zhǔn)端口和未知服務(wù)的端口

2.4.檢查異常進(jìn)程

使用ps命令查看當(dāng)前系統(tǒng)中的進(jìn)程。