【服务器入侵】后操作步骤

1.比对MD5值

  138  find /etc -type f -exec md5sum {} \; > /usr/share/file_md5.v1
  139  cat /usr/share/file_md5.v1
  140  find /etc -type f -exec md5sum {} \; >/usr/share/file_md5.v2
  141  diff /usr/share/file_md5.v1 /usr/share/file_md5.v2

注:如果忘提前生成/usr/share/file_md5.v1

找一台正常和你服务器系统版本号一样的虚拟机,在虚拟机中生成md5值数据库文件。复制到咱们服务器上,再对比。

rpm -Vf /usr/bin/mysql #如果没有输出,说明文件没有被修改

被入侵后,检测检测所有 rpm 生成的文件是否被改劢过
[root@xuegod63 ~]# rpm -Va > /root/rpm_chk.txt &

yum install tcpdump

 tcpdump -i eth0 -nn

更多参数:
-v 显示详细信息
-s 指定抓包的大小(单位字节)
X 显示抓包的内容不-s 连用
-c 10 只抓 10 个包
-w 将文件保存到指定位置
-r 将包读出来,可以加适当的选项
port 指定端口
host 192.168.1.x 指定主机来抓包
net 按照网络抓
icmp,tcp.udp.arp... 可以指定协议

 

例 1:
#抓 192.168.1.64 访问 xuegod63 22 端口的数据包。
 tcpdump -i eth0 -nnv port 22 and host 192.168.1.64
# 抓除 5900 之外的端口的数据包。 VNC ,linux 下远程连接工具。
 tcpdump -i eth0 -nn not port 5900

#只抓前 10 个数包,包存到 test.tcpdump

 tcpdump -i eth0 -nn -v -c 10 -w /tmp/test.tcpdump

 

了解网络情冴基本思路。 思路决定出路
1、IP
2、DNS
3、网关
4、iptables 规则
5、selinux
6、网关 MAC 。 目的: 防止别人冒冲网关。 ARP 欺骗
7、IP 地址冲突

ttl值每经过一个路由减一如果太小无法上网

 echo 64 > /proc/sys/net/ipv4/ip_default_ttl
tcpdump -i eth0 -nv -t icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.1.63 > 8.8.8.8: ICMP echo request, id 62490, seq 1, length 64

 

永丽生效:
[root@xuegod63 ~]# vim /etc/sysctl.conf #在最后,添加
net.ipv4.ip_default_ttl = 128
[root@xuegod63 ~]# sysctl -p
[root@xuegod63 ~]# cat /proc/sys/net/ipv4/ip_default_ttl
128

 

2.排除开机启动文件

grep -v ^$ /etc/rc.local

3、排查

[root@xuegod63 ~]# cd /etc/rc3.d/

[root@xuegod63 rc3.d]# ls *fre*    #开机启动,表示系统级别3下开机启动

S90fregonnzkq

ll /etc/rc*/*  | grep fre

对比法

[root@xuegod63 ~]# find /etc/init.d/ -type f  -exec md5sum {} \;  > /usr/share/init.d.v1
[root@xuegod63 ~]# find /etc/init.d/ -type f  -exec md5sum {} \;  > /usr/share/init.d.v2
[root@xuegod63 ~]# diff   /usr/share/init.d.v1   /usr/share/init.d.v2

  [root@xuegod63 ~]# find /etc/init.d/ -mtime -1  #查看被前一天到现在被修改的文件

 

rpm -Va  > rpm_check.txt

 

黑客如何让脚本定时执行,以下三种方法:

1、计划任务: crontab  和系统级别的计划任务

2、开机启动rc.local和开机启动脚本

3、系统命令被人替换,定一个触发事件

 

 

 

 

 

病毒运行原理:

1、生成是病原体

2、通过脚本每隔1分钟自动检测一次,如果木马程序不存在,就从病原体复制一份儿到某个目录,然后执行副本木马,生成一个随机命名的程序。把副本放到系统计划任务多个路径下

3、修改自启动配置chkconfig --add xxx

4、修改自启动项/etc/rc.local

 解决方法:

删除病原体以及其副本

删除系统计划任务中可疑的程序

删掉自启动服务的脚本chkconfig --del xxx

删掉可疑的自启动项:vi /etc/rc.local

删除/etc/crontab下可疑的任务

删除/etc/cron*下可疑的sh脚本

重启,查看脚本是否还执行

 

 

posted @ 2018-10-17 18:00  夜辰雪扬  阅读(409)  评论(0编辑  收藏  举报