【服务器入侵】后操作步骤
1.比对MD5值
138 find /etc -type f -exec md5sum {} \; > /usr/share/file_md5.v1 139 cat /usr/share/file_md5.v1 140 find /etc -type f -exec md5sum {} \; >/usr/share/file_md5.v2 141 diff /usr/share/file_md5.v1 /usr/share/file_md5.v2
注:如果忘提前生成/usr/share/file_md5.v1
找一台正常和你服务器系统版本号一样的虚拟机,在虚拟机中生成md5值数据库文件。复制到咱们服务器上,再对比。
rpm -Vf /usr/bin/mysql #如果没有输出,说明文件没有被修改
被入侵后,检测检测所有 rpm 生成的文件是否被改劢过
[root@xuegod63 ~]# rpm -Va > /root/rpm_chk.txt &
yum install tcpdump
tcpdump -i eth0 -nn
更多参数:
-v 显示详细信息
-s 指定抓包的大小(单位字节)
X 显示抓包的内容不-s 连用
-c 10 只抓 10 个包
-w 将文件保存到指定位置
-r 将包读出来,可以加适当的选项
port 指定端口
host 192.168.1.x 指定主机来抓包
net 按照网络抓
icmp,tcp.udp.arp... 可以指定协议
例 1:
#抓 192.168.1.64 访问 xuegod63 22 端口的数据包。
tcpdump -i eth0 -nnv port 22 and host 192.168.1.64
# 抓除 5900 之外的端口的数据包。 VNC ,linux 下远程连接工具。
tcpdump -i eth0 -nn not port 5900
#只抓前 10 个数包,包存到 test.tcpdump
tcpdump -i eth0 -nn -v -c 10 -w /tmp/test.tcpdump
了解网络情冴基本思路。 思路决定出路
1、IP
2、DNS
3、网关
4、iptables 规则
5、selinux
6、网关 MAC 。 目的: 防止别人冒冲网关。 ARP 欺骗
7、IP 地址冲突
ttl值每经过一个路由减一如果太小无法上网
echo 64 > /proc/sys/net/ipv4/ip_default_ttl
tcpdump -i eth0 -nv -t icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.1.63 > 8.8.8.8: ICMP echo request, id 62490, seq 1, length 64
永丽生效:
[root@xuegod63 ~]# vim /etc/sysctl.conf #在最后,添加
net.ipv4.ip_default_ttl = 128
[root@xuegod63 ~]# sysctl -p
[root@xuegod63 ~]# cat /proc/sys/net/ipv4/ip_default_ttl
128
2.排除开机启动文件
grep -v ^$ /etc/rc.local
3、排查
[root@xuegod63 ~]# cd /etc/rc3.d/
[root@xuegod63 rc3.d]# ls *fre* #开机启动,表示系统级别3下开机启动
S90fregonnzkq
ll /etc/rc*/* | grep fre
对比法
[root@xuegod63 ~]# find /etc/init.d/ -type f -exec md5sum {} \; > /usr/share/init.d.v1 [root@xuegod63 ~]# find /etc/init.d/ -type f -exec md5sum {} \; > /usr/share/init.d.v2 [root@xuegod63 ~]# diff /usr/share/init.d.v1 /usr/share/init.d.v2
[root@xuegod63 ~]# find /etc/init.d/ -mtime -1 #查看被前一天到现在被修改的文件
rpm -Va > rpm_check.txt
黑客如何让脚本定时执行,以下三种方法:
1、计划任务: crontab 和系统级别的计划任务
2、开机启动rc.local和开机启动脚本
3、系统命令被人替换,定一个触发事件
病毒运行原理:
1、生成是病原体
2、通过脚本每隔1分钟自动检测一次,如果木马程序不存在,就从病原体复制一份儿到某个目录,然后执行副本木马,生成一个随机命名的程序。把副本放到系统计划任务多个路径下
3、修改自启动配置chkconfig --add xxx
4、修改自启动项/etc/rc.local
解决方法:
删除病原体以及其副本
删除系统计划任务中可疑的程序
删掉自启动服务的脚本chkconfig --del xxx
删掉可疑的自启动项:vi /etc/rc.local
删除/etc/crontab下可疑的任务
删除/etc/cron*下可疑的sh脚本
重启,查看脚本是否还执行