被黑客攻击了?无所谓,我会拔网线。。。

news/2024/11/28 3:47:26/

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

最近老是有粉丝问我,被黑客攻击了,一定要拔网线吗?还有没有别的方法?

按理说,如果条件允许,一定是先拔网线,防止横向传播。

但很多时候并不能拔网线,比如云服务器这种,网线咱也碰不到呀。

实际上,遇到黑客攻击,并非只有拔网线这一条路,黑客也是人,只要他来攻击,就一定会留下蛛丝马迹。

接下来,我们从7个方向入手,讲解一下分析思路,了解黑客的攻击路径,甚至反制。
在这里插入图片描述

  • 一、账户分析
    • 1、排查可疑账户
    • 2、登录情况
    • 3、历史命令
  • 二、日志分析
  • 三、进程分析
    • 1、查看进程
    • 2、查看进程执行文件
  • 四、网络连接
    • 1、查看网络链接状态
    • 2、威胁情报分析
  • 五、启动项
    • 1、开机启动文件
    • 2、开机启动命令
    • 3、环境变量配置文件
  • 六、计划任务
  • 七、敏感目录文件
    • 1、近期被修改的文件
    • 2、敏感目录

一、账户分析

/erc/passwd 文件存放用户信息。
/bin/bash 表示账户状态为可登录;/sbin/nologin 表示用户状态为不可登录。

在这里插入图片描述

/etc/group 文件存放用户组信息

在这里插入图片描述

1、排查可疑账户

重点排查id大于1000的用户(新建的用户,id会大于1000,系统用户均小于500)。
awk -F: '($2=="")' /etc/shadow 查找空口令账号
awk -F: '($3==0)' /etc/passwdgrep "0:0" /etc/passwd 查找UID为0的超级权限账号,确保只有root。
grep "/bin/bash" /etc/passwd 查找可登录的账号

2、登录情况

who -b 上一次启动时间

在这里插入图片描述

w 查看登录的用户(登录时间、登录IP、正在执行的程序)。

在这里插入图片描述

lastb 查看用户失败信息。

在这里插入图片描述

lastlog 查看所有用户最后登录的信息。

在这里插入图片描述

last 查看最近的登录信息(包含系统开关机)

在这里插入图片描述

3、历史命令

history 查看历史命令。( 会被 history -c 清除)。
/root/.bash_history 文件保存root用户的历史命令
/home/user001/.bash_history 文件保存普通用户的历史命令

history 的历史命令会被 history -c 清除,而 bash_history 文件中的历史命令需要删除文件才能清除。

重点查看可疑历史命令,比如:wget(远程下载),ssh(连接内网),tar zip(压缩打包)

针对重装带后门的SSH服务(内置一个账户,不在系统中显示),可以检查修改修改时间,或者 ssh -V 查看版本。

在这里插入图片描述


二、日志分析

Linux系统日志默认放在 /var/log/

  • /var/log/cron 计划任务日志。
  • /var/log/dmesg 开机自检日志(dmesg命令查看)。
  • /var/log/maillog 邮件日志。
  • /var/log/messages 系统日志(系统出现问题时,重点查看此日志)。
  • /var/log/secure 应用的登录信息及输入的账号密码。

grep "Accepted" /var/log/secure 过滤登录成功的日志

在这里插入图片描述

grep "Failed" /var/log/secure 过滤登录失败的日志

在这里插入图片描述

​/var/log/apache2/access.log Apache访问日志


三、进程分析

重点关注那些结束后会重新启动的进程,按照启动项的步骤分析它重启的方式。

1、查看进程

ps -ef 查看所有进程

在这里插入图片描述

ps -aux 查看所有进程,同时显示CPU和内存的使用情况。

在这里插入图片描述

top 查看CPU占用特别高(80%以上)的进程,可能是挖矿或业务高峰。

在这里插入图片描述

kill -9 PID 根据PID结束进程。

2、查看进程执行文件

ls0f -p 1546 查看PID为1546的进程打开的文件,第三行是进程对应的执行文件。

在这里插入图片描述

ll /proc/1546/exe 查看PID为1546的进程对应的执行程序。

在这里插入图片描述

lsof -i:22 查看22端口对应的进程。

在这里插入图片描述


四、网络连接

检查可疑的网络连接,可疑IP、域名、文件可疑拿到威胁情报平台去分析。

1、查看网络链接状态

netstat -anopt 检查网络连接状态,LISTEN表示监听状态(等待连接);ESTABLISHED表示打开的连接。

在这里插入图片描述

如果已经知道恶意IP,可以过滤查看与恶意IP通信的网络连接 netstat -anopt | grep 192.168.31.28

如果只知道恶意域名,可以修改 /etc/hosts 文件,将恶意域名重定向到其他任意IP,然后再过滤跟这个IP通信的网络连接。

在这里插入图片描述

2、威胁情报分析

威胁情报平台可以查询域名、IP、文件的可信度,存在攻击痕迹就立即封禁。

奇安信威胁情报:https://ti.qianxin.com/
微步在线:https://x.threatbook.com/
VirusTotal:https://www.virustotal.com/gui/home/upload
安恒威胁情报:https://ti.dbappsecurity.com.cn/
深信服威胁情报:https://ti.sangfor.com.cn/analysis-platform
VenusEye威胁情报:https://www.venuseye.com.cn/
360威胁情报:https://ti.360.net/#/homepage


五、启动项

为了防止被控机器失联,很多恶意程序会将自己放到开机启动项中。

1、开机启动文件

检查是否有异常的自启动文件,同时注意文件内容是否被篡改,插入恶意指令。

1)/etc/rc.local

最后一行是脚本,开机引导期间执行。

在这里插入图片描述

/etc/rc.local/etc/rc.d/rc.local 的软连接,两个文件作用相同。

在这里插入图片描述


2)/etc/init.d/

目录下有很多系统服务的启动脚本,在系统启动(引导完成)后执行。

在这里插入图片描述

/etc/init.d//etc/rc.d/init.d/ 的软连接,两个文件作用相同。

在这里插入图片描述

Ubuntu没有 /etc/rc.d/init.d 这个目录,为了保持同一种服务在CentOS和Ubuntu使用的统一性,将服务脚本都放在 /etc/init.d 目录下。


3)/etc/rc*.d

检查其他开机启动目录中,服务启动脚本是否被篡改。

在这里插入图片描述

2、开机启动命令

systemctl list-unit-files 查看服务状态
systemctl list-unit-files | grep firewalld 查看指定服务状态
systemctl stop firewalld.service 停止服务
systemctl disable firewalld.service 禁止开机自启动

查看服务启动状态,enabled表示能够开机自启动;disabled表示不能开机自启动。

在这里插入图片描述

查看指定服务是否开机自启动,并关闭开机自启动。

在这里插入图片描述

3、环境变量配置文件

这些文件用来配置环境变量和启动程序,开机登录用户或者切换用户时触发。

  • /etc/bashrc
  • /etc/profile
  • ~/.bashrc
  • ~/.bash_profile

六、计划任务

crontab -l 查看当前用户的计划任务。
crontab -l -u root 查看指定用户的计划任务。

/etc/crontab 保存定时任务
/etc/anacrontab 保存异步定时任务
/var/spool/cron/ 目录存放每个用户的的定时任务。

在这里插入图片描述

/etc/cron.d 目录存放需要执行的定时任务文件。

在这里插入图片描述

/etc/cron.hourly/ 每小时执行一次的任务
/etc/cron.daily/ 每天执行一次的任务
/etc/cron.weekly/ 每周执行一次的任务
/etc/cron.monthly/ 每月执行一次的任务


七、敏感目录文件

webshell通常会包含恶意函数,比如:

  • PHP:eval()、system()、assert()
  • JSP:getRunTime()、FileOutputStream()
  • ASP:eval()、execute()、ExecuteGlobal()

寻找可疑文件,并检查文件中是否包含这类恶意函数,从而确定它是不是webshell。

1、近期被修改的文件

find /root/ -ctime -2 查找/root/目录下,两天内新创建的文件。
find /root/ -mtime -2 查找/root/目录下,两天内被修改过的文件。

在这里插入图片描述

stat text.txt 查看文件的详细信息,重点看访问/修改/时间。

在这里插入图片描述

ls -alt 按照文件修改时间排序

2、敏感目录

/tmp/ 临时目录,普通用户对其目录内的文件都具有读写的权限,通常用于提权。
/usr/bin/
/usr/sbin/
/etc/ssh/

总结:

应急响应思路大致分为三个部分:

  1. 找到webshell
  2. 确定攻击IP
  3. 回溯攻击操作并梳理攻击过程。

http://www.ppmy.cn/news/105183.html

相关文章

5.30黄金空头能否延续?今日多空如何布局?

近期有哪些消息面影响黄金走势?今日黄金多空该如何研判? ​黄金消息面解析:周一(5月29日)进入欧市盘中,对美国周末达成债务上限协议的乐观情绪推动风险情绪回升,与此同时,上周公布的美国PCE数据让美联储难…

可持续能源技术改变世界

文章目录 一、你在工作或生活中接触过可持续能源技术吗?可以分享下你的经历与看法。二、你认为可持续能源技术的优势和挑战有哪些?三、你了解过可持续能源技术的应用现状吗?四、对于可持续能源技术真的否改变世界这个问题你怎么看&#xff1f…

Leetcode 2455 可被三整除的偶数的平均值

Leetcode 2455 可被三整除的偶数的平均值 来源:力扣(LeetCode) 链接:https://leetcode.cn/problems/average-value-of-even-numbers-that-are-divisible-by-three/description/ 博主Github:https://github.com/GDUT-…

创新的内容创作与电子商务完美结合!下载带有ChatGPT AI的Porto WooCommerce主题!

如果你是一位电子商务网站的所有者,同时追求创新和卓越的内容创作,那么你一定不能错过Porto主题!Porto是一款功能强大的WooCommerce主题,它不仅提供了卓越的电商功能,还集成了ChatGPT AI内容创作,为你的网站…

idea使用Alibaba Cloud Toolkit插件远程操作Docker

idea使用Alibaba Cloud Toolkit插件远程操作Docker 前言 从github下载的开源项目源码,你基本上都能在项目根目录下发现会有个Dockerfile文件,Dockerfile文件是记录构建docker容器的构建命令,用途:一般用来将本地的jar包远程传输到…

实验篇(7.2) 04. 映射内网服务器到公网IP ❀ 远程访问

【简介】由于服务器的IP是内网地址,所以无法从公网直接访问服务器。要想远程访问服务器,最简单的办法就是将服务器映射到公网IP,然后通过公网IP加端口号的方式进行访问。 实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来…

JSP+SQL基于WEB的开放性实验管理系统设计与实现(源代码+论文+开题报告+中英文献+答辩PPT)

高等学校实验室是进行实验教学、开展科学研究、推动科技发展的重要基地,是学校教学科研工作的重要组成部分,实验室建设与管理水平直接关系到培养人才的质量。而互联网目前正极大地改变着我们的生活,随着现代校园信息化的推进,计算机进入日常教学工作的各个方面已成为不可阻…

MATLAB算法实战应用案例精讲-【人工智能】基于机器视觉的机器人及机械臂运动规划(补充篇)

目录 前言 几个高频面试题目 机器人抓取时怎么定位的?用什么传感器来检测? 相机标定