linux系统中毒排查

admin

linux系统中毒排查linux有许多的版本，主要关注redhat(centos)和ubuntu这两个主流版本

以下命令基本都需要root权限，执行命令前记得加sudo
& }. ]0 J8 C0 W- O; g4 v/ B
第一步

top，ps命令查看系统资源和负载情况，查看是否有异常的程序，kill命令杀掉异常程序或高负载程序

第二步

$ d/ |5 u: T) K; D# D6 o查看/etc/passwd是否有异常或隐藏用户，usermod -L xxx禁用该用户

第三步
: A7 h, r6 b% n7 ^8 L
查看开机启动日志
5 I( ?" I& z* F, k7 R  K
一般在此目录下/etc/rsyslog.conf，里面包含了其他各种配置文件的位置，只要找到该文件的位置，其他文件的位置就基本知道了一般都在/var/log
8 i+ O7 B) V8 e) x8 h. S1 v
0 j5 b7 ?9 Z5 y( S; Z1 t! J: f如果没有/etc/rsyslog.conf，可以到/etc/rsyslog.d文件下找找，把异常程序都给注释掉或者删除掉

>/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该文件获得相关的事件记录信息。
>/var/log/cron：记录crond计划任务产生的事件消息。
5 u+ C( `6 S, G/ c>/varlog/dmesg：记录Linux系统在引导过程中的各种事件信息。
>/var/log/maillog：记录进入或发出系统的电子邮件活动。
. \7 |) t% Q- k+ Y1 H: P>/var/log/lastlog：最近几次成功登录事件和最后一次不成功登录事件。
>/var/log/rpmpkgs：记录系统中安装各rpm包列表信息。
2 }+ U0 e* r. U6 F* D$ U>/var/log/secure：记录用户登录认证过程中的事件信息。有可能是 /var/log/auth.log
>/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。
>/var/log/utmp：记录当前登录的每个用户的详细信息
0 s% v0 q# }/ z4 ]" C# I9 e以上文件的位置不一定准确，要根据找到的rsyslog文件指定的位置去找
4 R. Z$ I) X3 j% ^
0 _" N4 @+ V9 f; x: \  H+ Xlastlog,wtmp,utmp,是二进制文件不可以直接查看，使用命令last或lastlog，w，users，who等命令查看

第四步
! h0 b. D/ K' u5 s  s
查看cron定时任务
) _, T% T3 V: t- _4 t% d2 T
8 y* w, z, a, I3 x6 T; n5 ~cat /etc/crontab或者查看其他的/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly
7 d$ B, Y6 w. m' G" X: a2 |/ e
查看是否有异常的程序，注释掉或者删除掉
& }7 t* J& d+ G, k7 I% x
& u" s6 G; c9 Q' i* A5 V

admin

常规检查------系统版本信息
( X( f' {# S# j6 @" [
7 \. o  Z3 x$ G( s% }. X复制代码
  m* }- H0 ?* F" ?) [% j2 @$ lsb_release -a
LSB Version:    core-2.0-ia32:core-2.0-noarch:core-3.core...
Distributor ID:    Ubuntu
( H% ~. Q" f* \4 }; G& G- W) ADescription:    Ubuntu 12.10
Release:    12.10
Codename:    quantal
复制代码
系统安装软件包列表
9 D+ N) X/ h% @$ _  @
$ rpm -qa                  #Fedora/Redhat系统适用
' E  W% x1 X( _. o. r
$ dpkg -l                  #Ubuntu系统适用
系统进程运行状态
  |8 @0 B9 o# X( a% P
复制代码
$ top

1 top - 15:34:24 up 23:44, 10 users,  load average: 0.52, 0.56, 0.59
2 Tasks: 245 total,   2 running, 241 sleeping,   1 stopped,   1 zombie
- Z% c, ^& A9 k. o3 %Cpu(s): 14.3 us,  3.4 sy,  0.0 ni, 82.0 id,  0.0 wa,  0.0 hi,  0.3 si,  0.0 st
9 \" s; o8 b- U. V) S" D% k3 n4 KiB Mem:   3924136 total,  3220824 used,   703312 free,   296052 buffers
9 u; h. e  {/ e7 C: Q, b% ?7 W5 KiB Swap:        0 total,        0 used,        0 free,  1488240 cached
6
" K5 P; m1 ~- k7   PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
8 14846 good      20   0  733m 158m  43m S  33.8  4.1  71:54.21 firefox
9  1309 root      20   0 98.6m  29m 6616 S  14.6  0.8  39:01.19 Xorg
10 ...
复制代码
6 V% G) o  I/ n2 r8 j0 C说明：
+ h3 ~  P" r6 g6 T8 h
第1行，与命令w输出的含义相同
第2行，进程总数245
/ |8 Q; {  R# ^1 x第3行，CPU使用情况，用户态（us）占用率14.3%，内核态占用率3.4(sy)
0 i$ N$ Q- ^# @" V9 j+ ~+ q( f6 E2 b第4,5行，内存使用情况，物理内存4G，空闲703M，交换分区大小为0
& |+ O5 C0 J; w  p  S% Z+ ]5 F$ `( K第6,7,8行等，进程列表及实时运行状态
9 r: F& f! w( c" t& B

5 p% L6 M7 H" `6 p2 t
+ M9 a9 Y2 ]/ g$ N8 E( u
+ q# F$ i/ M% |* D4 R) p) B系统运行级查看
( N6 k% h9 r( ^0 t% a2 y
* b8 S3 Y  }; B9 H! y, N$ runlevel
4 U' t" ?% r* e' @" E" {" DUbuntu系统服务管理和配置实现特殊，所以Linux通用的服务管理命令chkconfig等不支持，经初步试用发现命令update-rc.d还很初级，可能达不到预期效果。
0 g. u# A' d8 e3 Z* v+ q  @6 K6 ?' Y5 `" s
, s) T& r+ R4 K0 _* b4 J1 p停止ssh服务
" L$ K& E  B, i' n! B; b& t
) L5 }) t2 ~2 b$ sudo update-rc.d ssh disable
启用ssh服务

$ sudo update-rc.d ssh enable
: t0 a' Z2 ^% @, i6 d& |

/ h) u2 }2 d! H+ p, o" O帐号安全-----系统用户登陆情况检查
( j' q8 g' t7 h$ M9 y- X4 |
复制代码
$ w
. y1 D, f) k& \+ m" G 15:09:17 up 23:18,  4 users,  load average: 0.77, 0.59, 0.63
& H$ X$ w& Z7 z2 _: a# pUSER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
6 J  W& F0 R8 u+ B$ Ydemo     pts/2    192.168.1.100    15:12   1:16   0.30s  0.09s -bash
gooo     tty7     :0               三15   23:18m 36:49   2.22s gnome-session --session=ubuntu
gooo     pts/0    :0               三15   23:57   9.24s  9.01s /usr/bin/firefox
复制代码
说明：

系统当前时间：15:09:17
9 O- n5 C7 m; E- ~7 k) q系统已运行时间：23:18
系统平均负载：0.77, 0.59, 0.63 （over the last 1, 5 and 15 minutes）
6 i* t" }# w' u1 O. n已登陆用户：4个
3 W% q' y5 _! }9 Y5 j' wdemo用户通过网络在图形下的terminal(pts指虚拟终端）登陆，登陆时间15:12，IP地址为192.168.1.100；
gooo用户的第一个登陆在控制台七(即Ctrl+Alt+F5)，为当前gnome图形桌面的登陆用户；
gooo用户的第二个登陆在图形下的terminal，正在运行firefox;
; G; t2 }! G. i, T8 z+ Z- k注意：如果发现有不明用户登陆系统，可通过命令”pkill -kill -t TTYName”将其踢掉，如踢掉demo用户的命令如下：

$ sudo pkill -kill -t pts/2


检查系统中保存帐号列表的文件中是否有异常帐号。

/ p' K* \6 y) b' G, j复制代码
1 A8 I4 j  P2 X7 N$ cat /etc/passwd
, ], P; Z7 s% }' ?' l2 |4 groot:x:0:0:root:/root:/bin/bash
: W) N" @. y; F/ {5 [5 }daemon:x:1:1:daemon:/usr/sbin:/bin/sh
( z0 }. e$ ]% y- A# Pbin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
) N) @7 |8 C$ d1 v( G/ Q( l3 ?sync:x:4:65534:sync:/bin:/bin/sync
...
6 I# b/ W3 }5 B3 Q2 c*test:x:0:1001:cs2c,,,,:/home/test:/bin/bash*
复制代码
  X& `* c- @9 W要特别注意类似test(最后一行）的帐号，这个帐号UID被设为0，意味这个用户权限与root完全相同，而且在Ubuntu下可以直接登陆（Ubuntu下默认是不允许root登陆系统的），非常危险。


. a9 g8 C- Q; M1 G9 G5 X8 m6 q
" [# Z: O  v# z" e' s帐号历史活动记录
# {& b( b  Z2 d; o" R1 N
3 |5 o( b6 t8 W! V( G, Olast命令显示系统最近三次用户登陆情况，如果不指定-n参数，默认显示所有。
. A2 C$ b: s( k5 `" I5 n
% H) I1 o$ K8 @' l3 t. M$ sudo last -n 3
. x. H+ Z3 s4 Q* D8 x
' J0 `  W' _7 {, u: K1 U
用户名 终端 来源 登录时间 - 关闭时间（持续时间）

, N4 r; c/ T" v9 q! Ygooo     pts/2        192.168.1.100    Thu Aug 15 15:58 - 16:07  (00:08)   
gooo     tty5                          Thu Aug 15 15:12 - 16:09  (00:57)
! e7 d  n) Y  e4 [$ _$ wgooo     pts/7        :0               Thu Aug 15 15:06   still logged in

! Q/ b/ O9 g% X: m3 W/ p. u% n
lastb命令显示系统最近三次用户登陆失败的情况，如果不指定-n参数，默认显示所有。ubuntu系统下lastb默认不记录通过远程ssh登陆的失败记录，问题还在查找。
6 l' m/ Y. Q" p- A" {
' _5 S( [0 T: K6 k' r' U8 G8 q$ sudo lastb -n 3
用户名 终端 来源 登录时间 - 关闭时间（持续时间）
UNKNOWN tty6 Thu Aug 15 16:04 - 16:04 (00:00)
4 q2 k  C! x3 H' Zroot tty6 Thu Aug 15 16:04 - 16:04 (00:00)
aureport是一个更加强大的系统审计信息查询工具，基于audit daemon，auditd根据配置规则记录相关系统活动，如用户口令修改记录、进程运行记录等信息，通过aureport工具可以查询audit日志。

6 H* b! I6 }9 E+ u6 d1 G1 l; B$ man aureport


$ d7 ?, U. c  |: A
: W1 ]" y/ ~/ Q% ^; h: T3 ?! X
网络安全----服务端口开放检查

4 Y5 H. t7 f5 f$ ~: ~3 j复制代码
$ sudo netstat -anpt

3 i! C9 @6 F! X6 S; t$ f1  Active Internet connections (servers and established)
2  Proto Recv-Q Send-Q Local Address         Foreign Address       State       PID/Program name
1 I: K' \: Z6 p) Q3  tcp        0      0 0.0.0.0:22            0.0.0.0:*             LISTEN      825/sshd        
4  tcp        0      0 127.0.0.1:631         0.0.0.0:*             LISTEN      12489/cupsd     
3 j' X: h8 c( Z& B1 r7 I5  tcp        1      0 192.168.1.106:45268   91.189.92.11:443      CLOSE_WAIT  
+ W0 q! L- K3 \6  tcp        0      0 192.168.1.106:22      192.168.1.109:42066   ESTABLISHED 24652/sshd:
7  tcp        0      0 192.168.1.106:55095   192.168.1.108:22      ESTABLISHED 25221/ssh      
8  tcp        0      0 192.168.1.106:32872   122.193.23.59:80      TIME_WAIT   -               
9  tcp        0      0 192.168.1.106:46298   184.25.111.231:80     TIME_WAIT   -               
10 udp        0      0 0.0.0.0:17500         0.0.0.0:*                         2579/drop
7 r0 }8 y. F' d4 {11 tcp6       0      0 ::1:631               :::*                  LISTEN      12489/cupsd
  f4 s+ @" T6 R9 t" X. U7 B复制代码
2 o. m- Q0 e  p说明：

- p+ U. s9 P6 h2 A3 L. u命令说明(A)：
* h  z; ]* C" @3 d4 G# F" v
“-a” 显示所有；
“-n” IP地址和端口号以数字方式显示，默认为别名方式；
( d/ _& n, Z! ?0 G1 I, s“-p” 显示PID和进程名；
4 c4 ?; v" g  @6 y9 F1 o9 Y“-t” 显示TCP协议；
. q4 s) n! S: y4 Z“-u” 显示UDP协议。
第3行，sshd服务(进程ID为825)开启了tcp协议的22号端口，不限制接入IP地址；
. `: }% s  u; a1 k, t4 ^( S+ J, o第4行，cupsd服务开启了tcp协议的631端口，限制仅允许本地访问；
3 F! K2 ~( |$ ]: A+ Q: @第5行，本机正在访问91.189.92.11的443端口；
6 `) I9 t8 I5 {( v8 r/ t第6行，远程主机192.168.1.109已经通过ssh服务远程登陆本机（192.168.1.106)；
6 \* F) w) q$ f$ `6 C, `+ f/ x第7行，本机已经通过ssh服务远程登陆远程主机192.168.1.109；
% a, o& r/ i) k# x$ t6 ^$ v" h- U第8,9行，本机正在访问122.193.23.59和184.25.111.231两个网站；
第10行，未知服务（drop进程，PID2579)开启了udp协议的17500端口，不限制接入IP地址；
: R2 X5 e; w1 F$ ~1 A& E第11行，cupsd服务开启了tcp6协议(IPv6协议）的631端口，限制仅允许本地访问；
. T4 h0 A1 K. S9 L
% N  ]/ w! E3 ^; c0 {- Z
( o9 H* f$ F) ?


下面是网络链路安全检查-----默认网关检查
! Y  H8 ]9 R  J9 |3 ?3 ~( B
$ w8 L* x  H2 d3 ~! s  I* D; Z4 Q$ route -n
网络设备节点情况

$ ifconfig -a
1 T3 j9 C; d6 Y$ d+ ]+ A实时网络连接状态和流量情况

6 C7 G/ |3 Y6 U4 j& z/ ^$ sudo iptstate -C
  s1 \% h0 @. m0 @' Y# r9 b! }ARP解析列表缓存显示。如果192.168.1.1是网关IP，而后面的MAC地址与实际不符，那应该是被ARP欺骗了！
, f$ r& O3 D; [1 S* U! P
$ K2 s' H' [5 {" D  K; k1 P$ arp -a

?  (192.168.1.1) at 00:23:9e:xx:xx:xx [ether] on eth0
防火墙规则情况

$ sudo iptables --list
. I: [9 a9 P8 i' a! J5 w% E( |0 N
- _( E0 ]5 b  R# [
" a2 C. U: S1 o

7 _$ e" Q; O6 i: H  ~  g数据安全
6 x$ O+ t, b0 `( x
如果有人入侵了你的系统，修改了系统启动脚本，还替换了一些关键程序来掩盖他的行踪，这该然后办？关键是你还不确定入侵是否发生过。 DEB包校验完整性校验

Ubuntu系统默认不支持系统已安装包的完整性校验（个人结论），网上查到debsums这个包支持。

/ H8 T2 X2 g4 C) \$ sudo apt-get install debsums
$ debsums sysv-rc #校验包sysv-rc
$ debsums #校验系统中所有包
# L3 w1 x/ R* f, W& h3 b; U$ x
0 f3 X; X% f6 \2 x. w* f% i% K1 W
, l$ ]2 d& C! R% u1 Z/ B( u  k' M
5 z5 V1 c' Z9 L9 p/ p

! L+ _3 L% \! s# b$ a9 O+ E5 N% ?) g
系统日志安全

) E0 f  J7 v. k! g3 a通过分析日志记录是查找系统安全隐患的重要手段，Linux系统下日志默认集中保存在目录/var/log下，下面主要列举几个主要的日志文件。

! S0 W+ n6 G  t" f! }% k用户帐号认证日志，内容包括帐号登陆记录、权限转换（su/sudo)、修改口令等操作。

$ sudo vim /var/log/secure   
8 c2 D* I" v; k) I- C
$ sudo vim /var/log/auth.log        #Ubuntu系统适用
系统启动日志(即显示一行行OK的那个画面的内容)

$ sudo vim /var/log/boot.log
内核启动初始化日志

$ sudo vim /var/log/dmesg
2 `2 ^) U1 b$ C+ h8 S  e系统服务和核心组件日志（如networkmanager/gnome-session等）

4 _/ D. E; {3 h" y, t' |* w8 o- {6 o$ sudo vim /var/log/messages
9 z" x# b* \3 C4 z  e( p
$ sudo vim /var/log/syslog          #Ubuntu系统适用
) m& a2 x6 p, |+ E/ gXorg图形系统日志

$ sudo vim /var/log/Xorg.0.log
& y/ Z9 X4 W; q1 t% O/ n在线软件包操作日志，内容包括install/remove/update等记录。

5 F  `# e5 ~. G$ sudo vim /var/log/yum.log          #Fedora/Redhat系统适用
/ F8 k' q' l/ P* X
+ K+ G6 }( D6 }+ \$ g$ sudo vim /var/log/apt.log          #Ubuntu系统适用