linux系统中毒排查

admin

linux系统中毒排查linux有许多的版本，主要关注redhat(centos)和ubuntu这两个主流版本

以下命令基本都需要root权限，执行命令前记得加sudo
8 ?5 W: t. d+ o9 R. y
第一步
3 Q' l/ C. ]: s1 x! C
+ N( s! a8 U" j  n9 ytop，ps命令查看系统资源和负载情况，查看是否有异常的程序，kill命令杀掉异常程序或高负载程序
4 a, _) V9 W3 _* C  D* d- X& n6 p
* H5 e  w4 G3 C, ]第二步

查看/etc/passwd是否有异常或隐藏用户，usermod -L xxx禁用该用户
- d+ l. T. x$ ~1 G4 p6 }1 e
第三步
: V" i$ ]' a9 P' T
* l. c  Y& S3 \% ]* H* v% ?) d查看开机启动日志

+ v; Q$ F! r: b) D一般在此目录下/etc/rsyslog.conf，里面包含了其他各种配置文件的位置，只要找到该文件的位置，其他文件的位置就基本知道了一般都在/var/log
, N- S9 W4 G! w- E, I& e
如果没有/etc/rsyslog.conf，可以到/etc/rsyslog.d文件下找找，把异常程序都给注释掉或者删除掉

( n3 l6 K* Q5 r! U/ Y$ ~* p>/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该文件获得相关的事件记录信息。
! R9 I* G1 [6 m# S>/var/log/cron：记录crond计划任务产生的事件消息。
% w0 [% B- c3 d0 e$ Q) c>/varlog/dmesg：记录Linux系统在引导过程中的各种事件信息。
/ V9 V, Z# `0 K4 e; h>/var/log/maillog：记录进入或发出系统的电子邮件活动。
>/var/log/lastlog：最近几次成功登录事件和最后一次不成功登录事件。
>/var/log/rpmpkgs：记录系统中安装各rpm包列表信息。
* ]$ W% B6 ?7 B. ]>/var/log/secure：记录用户登录认证过程中的事件信息。有可能是 /var/log/auth.log
0 F; r* ~+ K9 H4 v3 X>/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。
: s7 ~5 _& b; C/ X$ O>/var/log/utmp：记录当前登录的每个用户的详细信息
以上文件的位置不一定准确，要根据找到的rsyslog文件指定的位置去找
2 D# g+ M+ @/ b3 M" y( ~
/ m2 u% p% ?  G+ ?- y; c9 klastlog,wtmp,utmp,是二进制文件不可以直接查看，使用命令last或lastlog，w，users，who等命令查看
" E9 D7 H+ |6 g( P
第四步
9 E6 |$ h. w, y  S$ S
; V6 X8 V- y' p3 b( _9 ?. @; @6 Q查看cron定时任务

  _; G4 q3 [- Y9 M8 P2 vcat /etc/crontab或者查看其他的/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly

! B9 p7 q. t, h0 f4 u  E查看是否有异常的程序，注释掉或者删除掉

0 y/ ^. f* t" B4 |6 l

admin

常规检查------系统版本信息

复制代码
$ lsb_release -a
5 ~! K3 p  C( t! y" G" zLSB Version:    core-2.0-ia32:core-2.0-noarch:core-3.core...
- E& m; Y$ D. G: q% u3 VDistributor ID:    Ubuntu
Description:    Ubuntu 12.10
Release:    12.10
Codename:    quantal
复制代码
系统安装软件包列表

( {* x$ g1 o# X$ rpm -qa                  #Fedora/Redhat系统适用
& D- K5 E5 B: q3 `. D
9 G1 l! Z7 |, F% ^$ dpkg -l                  #Ubuntu系统适用
系统进程运行状态

9 W- C* J* A9 P# r' W+ W4 E* G复制代码
. Y: ~. R4 Y4 I. J  l( q$ top

1 top - 15:34:24 up 23:44, 10 users,  load average: 0.52, 0.56, 0.59
2 Tasks: 245 total,   2 running, 241 sleeping,   1 stopped,   1 zombie
$ S7 H8 s# e, a3 B/ Y6 B! l3 %Cpu(s): 14.3 us,  3.4 sy,  0.0 ni, 82.0 id,  0.0 wa,  0.0 hi,  0.3 si,  0.0 st
9 x: ^  {/ P9 g1 p4 KiB Mem:   3924136 total,  3220824 used,   703312 free,   296052 buffers
5 KiB Swap:        0 total,        0 used,        0 free,  1488240 cached
6
7   PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
, g* k$ o5 |5 @- h" u, l- t8 14846 good      20   0  733m 158m  43m S  33.8  4.1  71:54.21 firefox
9  1309 root      20   0 98.6m  29m 6616 S  14.6  0.8  39:01.19 Xorg
* {3 ?& K, E$ W1 R: }1 E10 ...
8 a; t; I' U6 ]4 [复制代码
说明：
2 c" u/ o2 u5 d2 j* B) N
第1行，与命令w输出的含义相同
第2行，进程总数245
第3行，CPU使用情况，用户态（us）占用率14.3%，内核态占用率3.4(sy)
9 Q# ?4 V4 B+ d3 T' Y第4,5行，内存使用情况，物理内存4G，空闲703M，交换分区大小为0
第6,7,8行等，进程列表及实时运行状态
. ], X6 O& f* {+ R0 s7 K
8 ~: ^+ z# p% X" z9 K5 m


系统运行级查看

3 h. X: h5 d$ T# N' n6 Q$ runlevel
Ubuntu系统服务管理和配置实现特殊，所以Linux通用的服务管理命令chkconfig等不支持，经初步试用发现命令update-rc.d还很初级，可能达不到预期效果。
& q) ?0 B6 W: \& u* H' C
4 S, j) Z% j  G  e& s4 N停止ssh服务
7 D. m2 t# A' b5 ~) y2 _2 v$ l  @
$ sudo update-rc.d ssh disable
启用ssh服务
; |' B" A: d+ U  h- l
$ sudo update-rc.d ssh enable
$ G. j2 a- F& w- \8 u& I
/ V! W0 c3 a/ i+ \( r. g/ h
( m3 l3 A2 e$ r( i帐号安全-----系统用户登陆情况检查
  h$ T9 s; s$ k  s( I
复制代码
9 S' c5 F3 C5 y- V$ w
8 U3 r& U) f3 i' Q7 @( A! Q7 c 15:09:17 up 23:18,  4 users,  load average: 0.77, 0.59, 0.63
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
9 l) v) ]" r$ ?/ V; ~demo     pts/2    192.168.1.100    15:12   1:16   0.30s  0.09s -bash
gooo     tty7     :0               三15   23:18m 36:49   2.22s gnome-session --session=ubuntu
" @1 D/ C6 k9 b. i; Vgooo     pts/0    :0               三15   23:57   9.24s  9.01s /usr/bin/firefox
& C! t6 B9 b4 H% m. f2 K. h5 Q, C# W复制代码
% [6 D/ M: E6 U0 W! N0 |说明：

" N! H' u8 b9 [9 |! o系统当前时间：15:09:17
系统已运行时间：23:18
系统平均负载：0.77, 0.59, 0.63 （over the last 1, 5 and 15 minutes）
) S  Y/ d$ W6 x& C7 \已登陆用户：4个
demo用户通过网络在图形下的terminal(pts指虚拟终端）登陆，登陆时间15:12，IP地址为192.168.1.100；
8 b% i0 Z8 q2 r" |$ `& ?9 V; ~gooo用户的第一个登陆在控制台七(即Ctrl+Alt+F5)，为当前gnome图形桌面的登陆用户；
% W) ^8 G! g7 |  |" m5 Rgooo用户的第二个登陆在图形下的terminal，正在运行firefox;
注意：如果发现有不明用户登陆系统，可通过命令”pkill -kill -t TTYName”将其踢掉，如踢掉demo用户的命令如下：

$ sudo pkill -kill -t pts/2


5 `- r; w& ~+ j6 }检查系统中保存帐号列表的文件中是否有异常帐号。

2 _! D+ v/ f6 D1 U复制代码
  g% X, E3 b: |6 d$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
# J% ^& r% i! u  Z0 Rdaemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
...
; q8 c+ p9 Z( v' }* C) O*test:x:0:1001:cs2c,,,,:/home/test:/bin/bash*
3 H1 N7 A# Y7 h5 t7 w$ X复制代码
要特别注意类似test(最后一行）的帐号，这个帐号UID被设为0，意味这个用户权限与root完全相同，而且在Ubuntu下可以直接登陆（Ubuntu下默认是不允许root登陆系统的），非常危险。
. A2 N) e9 K( F: j7 @

4 g- d9 m. k4 k6 W' N
* B" R/ T& s! J帐号历史活动记录
0 B, p: i) G4 T
last命令显示系统最近三次用户登陆情况，如果不指定-n参数，默认显示所有。
$ Y& Q. \8 k, q7 {- ?) h
1 H  q1 U  ~9 `7 R8 j& J; s$ sudo last -n 3

6 W: P0 g& {4 _/ C) F
& P7 ^% L8 Y$ C8 G- f9 z5 G: [6 B用户名 终端 来源 登录时间 - 关闭时间（持续时间）
4 I) o8 ]' y# X4 {1 S& U
/ G% N. b* D& L) f5 H3 ?gooo     pts/2        192.168.1.100    Thu Aug 15 15:58 - 16:07  (00:08)   
gooo     tty5                          Thu Aug 15 15:12 - 16:09  (00:57)
gooo     pts/7        :0               Thu Aug 15 15:06   still logged in

- P8 N! f" L( O6 v; K
3 m1 I# a) s. D) p( V+ x8 olastb命令显示系统最近三次用户登陆失败的情况，如果不指定-n参数，默认显示所有。ubuntu系统下lastb默认不记录通过远程ssh登陆的失败记录，问题还在查找。

8 b% l  T, x+ I( m7 J$ sudo lastb -n 3
- O9 C+ ?! W& Y, j: z用户名 终端 来源 登录时间 - 关闭时间（持续时间）
- _4 C) h" z+ [. F  C$ p/ ^UNKNOWN tty6 Thu Aug 15 16:04 - 16:04 (00:00)
root tty6 Thu Aug 15 16:04 - 16:04 (00:00)
+ [0 a. \: I3 a# r; T2 ?: @  A* Naureport是一个更加强大的系统审计信息查询工具，基于audit daemon，auditd根据配置规则记录相关系统活动，如用户口令修改记录、进程运行记录等信息，通过aureport工具可以查询audit日志。

6 g( b8 E! m# b) |2 H$ man aureport
' u, ?- e& t, M/ S


3 g% d; e; u& i9 C- e9 Y
% A" z6 @& r1 s7 u网络安全----服务端口开放检查

复制代码
6 U( `# s/ i; R5 H$ sudo netstat -anpt
7 s& W- R, [1 U9 h
1  Active Internet connections (servers and established)
2  Proto Recv-Q Send-Q Local Address         Foreign Address       State       PID/Program name
3  tcp        0      0 0.0.0.0:22            0.0.0.0:*             LISTEN      825/sshd        
0 x) U' v* b7 b+ W* c- t5 Q) S4 i4  tcp        0      0 127.0.0.1:631         0.0.0.0:*             LISTEN      12489/cupsd     
5  tcp        1      0 192.168.1.106:45268   91.189.92.11:443      CLOSE_WAIT  
( O4 Z+ ~0 |* V: H9 h3 Z, ?6  tcp        0      0 192.168.1.106:22      192.168.1.109:42066   ESTABLISHED 24652/sshd:
4 @' T, s* V  `4 C7  tcp        0      0 192.168.1.106:55095   192.168.1.108:22      ESTABLISHED 25221/ssh      
8  tcp        0      0 192.168.1.106:32872   122.193.23.59:80      TIME_WAIT   -               
5 ?: A- M' e- L4 I' v, o9  tcp        0      0 192.168.1.106:46298   184.25.111.231:80     TIME_WAIT   -               
$ d( J# d5 ?) m7 `7 j/ Y10 udp        0      0 0.0.0.0:17500         0.0.0.0:*                         2579/drop
11 tcp6       0      0 ::1:631               :::*                  LISTEN      12489/cupsd
+ L$ e/ G' _! b4 N5 P复制代码
说明：

命令说明(A)：

“-a” 显示所有；
“-n” IP地址和端口号以数字方式显示，默认为别名方式；
, g$ w6 n& L6 o8 x+ Y3 W0 ^$ I“-p” 显示PID和进程名；
“-t” 显示TCP协议；
“-u” 显示UDP协议。
第3行，sshd服务(进程ID为825)开启了tcp协议的22号端口，不限制接入IP地址；
; h3 q% @& K9 x. b第4行，cupsd服务开启了tcp协议的631端口，限制仅允许本地访问；
& o% z6 Q+ t; z第5行，本机正在访问91.189.92.11的443端口；
第6行，远程主机192.168.1.109已经通过ssh服务远程登陆本机（192.168.1.106)；
第7行，本机已经通过ssh服务远程登陆远程主机192.168.1.109；
第8,9行，本机正在访问122.193.23.59和184.25.111.231两个网站；
第10行，未知服务（drop进程，PID2579)开启了udp协议的17500端口，不限制接入IP地址；
* x% S" F  q3 s6 K3 d第11行，cupsd服务开启了tcp6协议(IPv6协议）的631端口，限制仅允许本地访问；

5 M$ Y; }2 l3 t2 p% l( z& X" D



3 D& j6 Y* B. O. ^% n5 f下面是网络链路安全检查-----默认网关检查
$ U6 e: |$ e, m, N& t, W6 m
( o- L. S4 S! ^+ A  |1 M$ S4 X$ route -n
网络设备节点情况
# b3 `9 x4 O5 t4 e; _: s4 n
, V/ y7 ?5 L$ j1 c# {$ ifconfig -a
实时网络连接状态和流量情况
6 N7 X9 L8 e' U* G% u! w- I
& k' c' i2 h/ I! y9 z% H' F) O; w7 H$ sudo iptstate -C
1 h! ?' k( c! q/ ~ARP解析列表缓存显示。如果192.168.1.1是网关IP，而后面的MAC地址与实际不符，那应该是被ARP欺骗了！

$ arp -a
! X* W: K  u2 d4 t- c: z! ]
?  (192.168.1.1) at 00:23:9e:xx:xx:xx [ether] on eth0
防火墙规则情况
5 _4 ?6 a$ _7 r0 L9 h
! p! @- D5 I3 ]7 g$ sudo iptables --list

- Z  h3 }! a$ q- c2 _4 W


2 h2 _( u: R2 w* n6 P6 _数据安全

如果有人入侵了你的系统，修改了系统启动脚本，还替换了一些关键程序来掩盖他的行踪，这该然后办？关键是你还不确定入侵是否发生过。 DEB包校验完整性校验
$ O. M1 B: L, B" I! J9 x
Ubuntu系统默认不支持系统已安装包的完整性校验（个人结论），网上查到debsums这个包支持。

$ sudo apt-get install debsums
2 Y7 K) z* x. Z4 H$ debsums sysv-rc #校验包sysv-rc
$ debsums #校验系统中所有包
+ d, g" n( y0 q8 C! X

1 h: u0 q. n- a* ~0 ~# H
9 U7 k+ k4 A0 |) r+ z
. K& Y+ d& y1 {) j- U9 q9 L

, \' t, P& j. _% q  X系统日志安全

通过分析日志记录是查找系统安全隐患的重要手段，Linux系统下日志默认集中保存在目录/var/log下，下面主要列举几个主要的日志文件。

用户帐号认证日志，内容包括帐号登陆记录、权限转换（su/sudo)、修改口令等操作。
( u5 J# }6 K/ R* Y
$ sudo vim /var/log/secure   
' ]3 |; B1 k5 R0 h  Z
* J- a- T7 w( B7 h0 F$ sudo vim /var/log/auth.log        #Ubuntu系统适用
7 ?, b+ y9 Y) p" Z1 o系统启动日志(即显示一行行OK的那个画面的内容)

! O1 @* Z" ]+ R1 }$ sudo vim /var/log/boot.log
内核启动初始化日志

$ sudo vim /var/log/dmesg
! l- `9 ]3 R* g7 ~3 n4 X  f系统服务和核心组件日志（如networkmanager/gnome-session等）
& k: v9 e$ A6 K* \# S
5 q- p, B& W5 Y' o3 Z. Y) y$ sudo vim /var/log/messages

* R. j- F  @7 m2 a  Z: ~8 u* k$ sudo vim /var/log/syslog          #Ubuntu系统适用
Xorg图形系统日志
6 x2 {( X( w8 G* ]
) E" |& [" O4 M+ \# k+ W$ sudo vim /var/log/Xorg.0.log
0 e/ D, ^2 X5 C( Q6 ]6 O  K在线软件包操作日志，内容包括install/remove/update等记录。
9 I$ p: R0 R0 }( M8 h3 m0 c6 Z: H
/ i- R: A3 k# V5 K4 A$ sudo vim /var/log/yum.log          #Fedora/Redhat系统适用
9 c! ~0 h+ i/ i3 W) ~0 I+ B& S
$ sudo vim /var/log/apt.log          #Ubuntu系统适用


$ s# K0 B6 S( P/ n' a: U9 i9 W1 T: K