挖矿入侵Linux系统排查步骤( 二 )


挖矿入侵Linux系统排查步骤

文章插图
注意:无密码/只允许本机登陆 , 远程不允许登陆主要关注/bin/bash或/bin/sh的用户 , 注意是否存在异常账号(需要和客户沟通)
2. 查看影子文件/etc/
字段按顺序解释:用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留
【挖矿入侵Linux系统排查步骤】3. 检查特权用户命令:awk -F: '$3==0{print $1}' /etc/可以用此命令筛选出所有的特权用户
4. 检查以远程登录的账号命令:awk '/$1|$6/{print $1}' /etc/可以快速筛选出远程账号
5. 排查ssh密钥文件 , 命令: ls -al ~/.ssh与客户确定是否存在异常的密钥文件
七、计划任务排查
1. 排查 ,  -l 列出某个用户cron服务的详细内容 ,  会泄露恶意文件的相关信息
注意:
默认编写的文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root)每个账号下都有属于自己的计划任务 , 因此需要排查所有用户的计划任务 , 切勿遗漏
2. 排查文件列表
/var/spool/cron/*
/etc/
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron./*
/etc/cron./*
/etc/cron./
/etc/
/var/spool//*
八、开机启动项排查
linux启动顺序中决定程序启动项的在init这里 , 分为两大步骤:按级别加载/etc/rc(0-6).d目录下的启动脚本;加载/etc/rc.local文件;因此需要排查启动项文件排查是否存在恶意脚本 。
1.开机启动配置文件/etc/rc.local , 需要查看/etc/rc.local是否存在恶意执行启动项
需要查看/etc/rc[0-6].d下是否存在恶意文件脚本 , 主要关注rc3、rc4和rc5
2.启动项级别解释
主要关注3~5 , 命令如下: –list
九、日志审计
1. 日志默认存放位置:/var/log/
2. 查看日志配置情况:more /etc/.conf
3. 系统日志文件说明
日志文件
说明
/var/log/cron
记录了系统定时任务相关的日志
/var/log/cups
记录打印信息的日志
/var/log/dmesg
记录了系统在开机时内核自检的信息 , 也可以使用dmesg命令直接查看内核自检信息
/var/log/
挖矿入侵Linux系统排查步骤

文章插图
记录邮件信息
/var/log/
记录系统重要信息的日志 。这个日志文件中会记录Linux系统的绝大多数重要信息 , 如果系统出现 问题时 , 首先要检查的就应该是这个日志文件
/var/log/btmp
记录错误登录日志 , 这个文件是二进制文件 , 不能直接vi查看 , 而要使用lastb命令查看
/var/log/
记录系统中所有用户最后一次登录时间的日志 , 这个文件是二进制文件 , 不能直接vi , 而要使用 命令查看
/var/log/wtmp
永久记录所有用户的登录、注销信息 , 同时记录系统的启动、重启、关机事件 。同样这个文件也是 一个二进制文件 , 不能直接vi , 而需要使用last命令来查看
/var/log/utmp
记录当前已经登录的用户信息 , 这个文件会随着用户的登录和注销不断变化 , 只记录当前登录用户 的信息 。同样这个文件不能直接vi , 而要使用w,who,users等命令来查询
/var/log/
录验证和授权方面的信息 , 只要涉及账号和密码的程序都会记录 , 比如SSH登录 , su切换用户 ,  sudo授权 , 甚至添加用户和修改用户密码都会记录在这个日志文件中