linux系统中毒排查

admin

linux系统中毒排查linux有许多的版本，主要关注redhat(centos)和ubuntu这两个主流版本

以下命令基本都需要root权限，执行命令前记得加sudo

第一步
: r( n7 r  Q. u- f
top，ps命令查看系统资源和负载情况，查看是否有异常的程序，kill命令杀掉异常程序或高负载程序
- C; Q; l) H* y# q5 }3 z
1 K% G( o5 ^$ _第二步
5 B) y- V3 T3 r! g5 U$ ~4 t
" t) k; x' [% i/ T+ S- V查看/etc/passwd是否有异常或隐藏用户，usermod -L xxx禁用该用户

) t) K7 K8 e* V' Y) W; j' s  S第三步
1 v1 I( E0 N! S+ q/ b2 K
查看开机启动日志

一般在此目录下/etc/rsyslog.conf，里面包含了其他各种配置文件的位置，只要找到该文件的位置，其他文件的位置就基本知道了一般都在/var/log
' Q7 m4 S5 X9 j: Z! f
) @+ {' J) R; {& N( m9 f如果没有/etc/rsyslog.conf，可以到/etc/rsyslog.d文件下找找，把异常程序都给注释掉或者删除掉

% e5 x9 y  S) e6 B6 l. t5 E1 z>/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该文件获得相关的事件记录信息。
- I) \; T% o$ @! P/ x) u$ `  c  M- J>/var/log/cron：记录crond计划任务产生的事件消息。
# W$ j9 Y  R/ \6 A( K9 h>/varlog/dmesg：记录Linux系统在引导过程中的各种事件信息。
4 y. R8 q! }* p; p  Z: |' q>/var/log/maillog：记录进入或发出系统的电子邮件活动。
! M' W1 d0 A: d/ h3 m; O- |>/var/log/lastlog：最近几次成功登录事件和最后一次不成功登录事件。
# ~/ i$ w6 H& F- t' C3 D7 [$ M>/var/log/rpmpkgs：记录系统中安装各rpm包列表信息。
>/var/log/secure：记录用户登录认证过程中的事件信息。有可能是 /var/log/auth.log
>/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。
>/var/log/utmp：记录当前登录的每个用户的详细信息
以上文件的位置不一定准确，要根据找到的rsyslog文件指定的位置去找

lastlog,wtmp,utmp,是二进制文件不可以直接查看，使用命令last或lastlog，w，users，who等命令查看
+ [% [0 Y# ]  y
: ~9 M5 Y- p8 R5 C第四步
- n* B8 B- a# T: y- P9 F7 r3 t
8 q8 o- ^8 t: S) J' E查看cron定时任务
0 Q6 }/ K. V; }1 x& v" X1 _$ R
cat /etc/crontab或者查看其他的/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly
  q8 U9 b3 d# y4 H  @
; |" j" B4 q) r- |. P& N% l. H4 P: s查看是否有异常的程序，注释掉或者删除掉

admin

常规检查------系统版本信息

, J! `. v$ F, y* l, M复制代码
$ lsb_release -a
LSB Version:    core-2.0-ia32:core-2.0-noarch:core-3.core...
4 R6 r, P5 c9 @5 @1 gDistributor ID:    Ubuntu
Description:    Ubuntu 12.10
Release:    12.10
Codename:    quantal
复制代码
系统安装软件包列表

$ rpm -qa                  #Fedora/Redhat系统适用

$ dpkg -l                  #Ubuntu系统适用
1 S% s% H% V/ z! M2 z' f* E系统进程运行状态

复制代码
! u7 S6 P& A/ x! s" q. }+ R. [$ top

1 top - 15:34:24 up 23:44, 10 users,  load average: 0.52, 0.56, 0.59
1 d" r5 J" a! e2 B3 ~; B: O! R$ }2 Tasks: 245 total,   2 running, 241 sleeping,   1 stopped,   1 zombie
3 %Cpu(s): 14.3 us,  3.4 sy,  0.0 ni, 82.0 id,  0.0 wa,  0.0 hi,  0.3 si,  0.0 st
$ Q! ^$ \9 a4 D/ v4 KiB Mem:   3924136 total,  3220824 used,   703312 free,   296052 buffers
5 KiB Swap:        0 total,        0 used,        0 free,  1488240 cached
' w& V7 B7 F; k6
9 i! }6 F2 g3 ?% N& W9 t, x& q6 F7   PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
8 14846 good      20   0  733m 158m  43m S  33.8  4.1  71:54.21 firefox
1 x6 c1 A6 o* G0 m* D) C9  1309 root      20   0 98.6m  29m 6616 S  14.6  0.8  39:01.19 Xorg
10 ...
复制代码
, J2 Y# _1 o3 j  P说明：
- k& W6 b& ^- V. B0 n( X- l
3 |) x3 R: ~! U; W  o3 m第1行，与命令w输出的含义相同
第2行，进程总数245
第3行，CPU使用情况，用户态（us）占用率14.3%，内核态占用率3.4(sy)
1 X  O6 c8 l1 n9 `7 J# ~; I第4,5行，内存使用情况，物理内存4G，空闲703M，交换分区大小为0
7 l' |& p$ h- a0 U第6,7,8行等，进程列表及实时运行状态


6 I2 G* J. Q( I9 f" p, h; E6 a

- e; n9 j! j8 ]; t. P5 ~& i8 D系统运行级查看
1 X" S* i( X5 g) P+ N
4 @6 d5 j9 _. K$ B$ runlevel
Ubuntu系统服务管理和配置实现特殊，所以Linux通用的服务管理命令chkconfig等不支持，经初步试用发现命令update-rc.d还很初级，可能达不到预期效果。

6 J, K7 q3 d% Y  D, B( }停止ssh服务
& w. q4 v: V0 Q% p- x$ o' V
$ sudo update-rc.d ssh disable
0 v% ~0 b  N. f/ t; s4 ]启用ssh服务
/ |  w$ K' @0 I5 `
$ sudo update-rc.d ssh enable

$ y0 v. x3 u( [" i: F* a/ E
, {, m( E  P( x2 u帐号安全-----系统用户登陆情况检查
9 L4 g8 W& K/ {
- \0 \, p+ y& L( k( `复制代码
$ w
15:09:17 up 23:18,  4 users,  load average: 0.77, 0.59, 0.63
0 |' ]  |' p- M& G5 T# H& B2 NUSER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
demo     pts/2    192.168.1.100    15:12   1:16   0.30s  0.09s -bash
, `, R2 ~& ]5 Q) v7 g9 y6 O% kgooo     tty7     :0               三15   23:18m 36:49   2.22s gnome-session --session=ubuntu
gooo     pts/0    :0               三15   23:57   9.24s  9.01s /usr/bin/firefox
7 r% m( D6 z  j6 L# W  B* q/ z& C复制代码
说明：
$ [8 i' u' @2 Y2 {4 R
系统当前时间：15:09:17
- Y- u2 J" t1 M3 G2 U: [系统已运行时间：23:18
2 l+ C0 O+ U/ t# H8 k  U0 _系统平均负载：0.77, 0.59, 0.63 （over the last 1, 5 and 15 minutes）
* g7 a& X" s' U) y/ I5 d: ]# R" I) f已登陆用户：4个
5 V8 g9 k7 W  N) b( e* ]demo用户通过网络在图形下的terminal(pts指虚拟终端）登陆，登陆时间15:12，IP地址为192.168.1.100；
0 z# \" ]+ q& m4 {2 D2 }gooo用户的第一个登陆在控制台七(即Ctrl+Alt+F5)，为当前gnome图形桌面的登陆用户；
gooo用户的第二个登陆在图形下的terminal，正在运行firefox;
注意：如果发现有不明用户登陆系统，可通过命令”pkill -kill -t TTYName”将其踢掉，如踢掉demo用户的命令如下：
; K0 |# B4 A. ~1 A4 R6 W6 g7 D
9 t/ S" R! y: x3 W. {# c' r1 W$ sudo pkill -kill -t pts/2


检查系统中保存帐号列表的文件中是否有异常帐号。
% R. `( t& g' i% c( |* i! ?0 K
复制代码
$ cat /etc/passwd
. ?$ ]. y6 z* b+ ^1 Croot:x:0:0:root:/root:/bin/bash
$ }) n0 a4 J: t. u4 Z, ^daemon:x:1:1:daemon:/usr/sbin:/bin/sh
/ r7 a1 K0 M* fbin:x:2:2:bin:/bin:/bin/sh
: a" Q9 g9 m; y4 w& Isys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
9 y+ t; @1 ?  \9 a% b0 J! ?...
*test:x:0:1001:cs2c,,,,:/home/test:/bin/bash*
复制代码
' C$ F- C& N/ ]$ S0 P" Q要特别注意类似test(最后一行）的帐号，这个帐号UID被设为0，意味这个用户权限与root完全相同，而且在Ubuntu下可以直接登陆（Ubuntu下默认是不允许root登陆系统的），非常危险。

& s' @+ D! I: K# ?

. O+ {7 `& D; _/ N帐号历史活动记录

! |: I0 c' O3 glast命令显示系统最近三次用户登陆情况，如果不指定-n参数，默认显示所有。
4 C- [  h6 L7 S8 z$ {4 t! P
/ s% f& ?8 }2 D1 u$ N: V$ sudo last -n 3
7 E; ^( R  |; l0 f( q7 E# ]9 @

5 _4 r5 Y; U; p" j/ z用户名 终端 来源 登录时间 - 关闭时间（持续时间）

5 G: W. p0 [+ ~  ]% S3 W3 V+ Mgooo     pts/2        192.168.1.100    Thu Aug 15 15:58 - 16:07  (00:08)   
gooo     tty5                          Thu Aug 15 15:12 - 16:09  (00:57)
, x6 |6 Z9 V5 ]" Igooo     pts/7        :0               Thu Aug 15 15:06   still logged in
- P+ d* X  K9 R/ y( N
* h7 k' I8 j5 o% H
3 W% |0 e0 P- Y( x% d. D" P( J" Blastb命令显示系统最近三次用户登陆失败的情况，如果不指定-n参数，默认显示所有。ubuntu系统下lastb默认不记录通过远程ssh登陆的失败记录，问题还在查找。

% V1 x7 a! l3 T2 e# i8 v4 x$ sudo lastb -n 3
用户名 终端 来源 登录时间 - 关闭时间（持续时间）
; G* G* H' d! B- B: b) \+ xUNKNOWN tty6 Thu Aug 15 16:04 - 16:04 (00:00)
0 J' O" E8 S1 Xroot tty6 Thu Aug 15 16:04 - 16:04 (00:00)
1 l: ?8 w4 e5 F4 zaureport是一个更加强大的系统审计信息查询工具，基于audit daemon，auditd根据配置规则记录相关系统活动，如用户口令修改记录、进程运行记录等信息，通过aureport工具可以查询audit日志。

$ man aureport
. l+ V2 B' y3 o: {, T' S7 M


. t# A# p! @; n! f: ]1 }
网络安全----服务端口开放检查

1 k. V/ ?( b8 Z2 e3 r复制代码
$ sudo netstat -anpt
: q* P' p# g+ M$ ^+ B) V
: L" W$ M% s/ m3 m0 o1  Active Internet connections (servers and established)
6 D. c0 ^1 g6 _, z2  Proto Recv-Q Send-Q Local Address         Foreign Address       State       PID/Program name
3  tcp        0      0 0.0.0.0:22            0.0.0.0:*             LISTEN      825/sshd        
4  tcp        0      0 127.0.0.1:631         0.0.0.0:*             LISTEN      12489/cupsd     
* Z, H4 g) j; |  H) |- a+ `5  tcp        1      0 192.168.1.106:45268   91.189.92.11:443      CLOSE_WAIT  
) X$ R7 L2 Q3 s; O. y6  tcp        0      0 192.168.1.106:22      192.168.1.109:42066   ESTABLISHED 24652/sshd:
7  tcp        0      0 192.168.1.106:55095   192.168.1.108:22      ESTABLISHED 25221/ssh      
; X  A0 s1 ~' e6 b" I8  tcp        0      0 192.168.1.106:32872   122.193.23.59:80      TIME_WAIT   -               
8 Y% y; ~& V* Y) Z' R7 J. b& b9  tcp        0      0 192.168.1.106:46298   184.25.111.231:80     TIME_WAIT   -               
5 d8 q# P+ N& |1 R& N: N1 O10 udp        0      0 0.0.0.0:17500         0.0.0.0:*                         2579/drop
, K% t" }0 r" S4 _* Y' n1 m11 tcp6       0      0 ::1:631               :::*                  LISTEN      12489/cupsd
, H: G/ |* m: ?3 ?8 M. N( \4 C复制代码
说明：
2 E) w# i8 s1 k& e
3 T4 ?# K1 H; q4 R  Z3 P8 b/ m. D! ^命令说明(A)：
2 S' ]7 b5 A/ g& K
“-a” 显示所有；
6 _; n) B+ W" M+ x! Z3 X7 s# i“-n” IP地址和端口号以数字方式显示，默认为别名方式；
“-p” 显示PID和进程名；
/ R# ~! r5 V9 a' P“-t” 显示TCP协议；
“-u” 显示UDP协议。
4 ]1 R; S- v1 H" `$ m8 a第3行，sshd服务(进程ID为825)开启了tcp协议的22号端口，不限制接入IP地址；
第4行，cupsd服务开启了tcp协议的631端口，限制仅允许本地访问；
第5行，本机正在访问91.189.92.11的443端口；
  N: O; q& j/ Q) I7 k% x9 k第6行，远程主机192.168.1.109已经通过ssh服务远程登陆本机（192.168.1.106)；
) D% L0 |; T) w0 Q0 k第7行，本机已经通过ssh服务远程登陆远程主机192.168.1.109；
" p, k: p" ]2 `+ C3 v9 Y" e第8,9行，本机正在访问122.193.23.59和184.25.111.231两个网站；
第10行，未知服务（drop进程，PID2579)开启了udp协议的17500端口，不限制接入IP地址；
第11行，cupsd服务开启了tcp6协议(IPv6协议）的631端口，限制仅允许本地访问；
, G9 z5 }+ `, B5 }, Z' \
6 b9 E& m) k# @2 w) g# H+ x
) c2 q5 G/ ^& k/ o) z; P
* }& r* _  a9 E1 R( i5 X: |- V: `
3 N8 k& f- i; K4 U' E
下面是网络链路安全检查-----默认网关检查

9 T3 O: ?7 W2 i$ route -n
网络设备节点情况

6 l1 {1 F& ~# J- U0 Y& j/ v  R  ]$ ifconfig -a
6 r9 ]$ v3 J  |1 U实时网络连接状态和流量情况
# z! n8 J" z( d; b/ }* @
$ sudo iptstate -C
! x* ?( K+ e; j; wARP解析列表缓存显示。如果192.168.1.1是网关IP，而后面的MAC地址与实际不符，那应该是被ARP欺骗了！
; ]) ]4 v+ I" p, y
$ arp -a
; x. W# q3 S  P" D& E2 e  {6 L
# G+ y2 f" z: j; O% {& g* I0 A?  (192.168.1.1) at 00:23:9e:xx:xx:xx [ether] on eth0
  _7 `) K+ z* F# ]防火墙规则情况

! \' P  M( Q( u& w4 c6 g$ sudo iptables --list

7 b& P$ V2 z0 ?7 L( p8 `/ _


数据安全

如果有人入侵了你的系统，修改了系统启动脚本，还替换了一些关键程序来掩盖他的行踪，这该然后办？关键是你还不确定入侵是否发生过。 DEB包校验完整性校验

Ubuntu系统默认不支持系统已安装包的完整性校验（个人结论），网上查到debsums这个包支持。

$ sudo apt-get install debsums
$ debsums sysv-rc #校验包sysv-rc
+ V; Z" o: u* x' E  H, ~2 x" d. P$ debsums #校验系统中所有包


8 V. B; K4 Z% H3 ^3 c6 k' D  Q


% d# U0 p  _1 E/ B
系统日志安全
. |# @! l2 A7 a7 q
通过分析日志记录是查找系统安全隐患的重要手段，Linux系统下日志默认集中保存在目录/var/log下，下面主要列举几个主要的日志文件。
5 ?9 {6 K; i2 ?1 y* }$ G  s
) e( y3 D. M2 N  |6 ~用户帐号认证日志，内容包括帐号登陆记录、权限转换（su/sudo)、修改口令等操作。

$ sudo vim /var/log/secure   

$ sudo vim /var/log/auth.log        #Ubuntu系统适用
系统启动日志(即显示一行行OK的那个画面的内容)
3 k$ M2 G# s: ^1 D: B2 p
1 T9 W" x: g: j" P$ sudo vim /var/log/boot.log
/ Z) x2 ^2 l' k( ]内核启动初始化日志

$ sudo vim /var/log/dmesg
系统服务和核心组件日志（如networkmanager/gnome-session等）
# z* D7 h8 m# V+ h
$ sudo vim /var/log/messages
  U4 S. T* `) P
% {$ _7 u1 U* N$ sudo vim /var/log/syslog          #Ubuntu系统适用
* U+ t* q( a/ X! TXorg图形系统日志
6 R& g) i8 }# I' Y3 i7 o- C$ T
- ?0 |: ~: d  G, k$ sudo vim /var/log/Xorg.0.log
在线软件包操作日志，内容包括install/remove/update等记录。

$ sudo vim /var/log/yum.log          #Fedora/Redhat系统适用

$ sudo vim /var/log/apt.log          #Ubuntu系统适用

3 C9 V9 o" D8 T2 m0 S/ b3 t
# z* L5 j/ P" m' c+ z