本篇文章给大家分享的是有关如何进行Linux入侵排查,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。
接领导通知明天直接去某公司应急响应,去之后询问情况得知,发现其中四台CPU一直爆满,远程端口(22)直接映射到外网,密码是多年来一直位于榜首的123456,这不明摆着被人日穿吗!!!
首先对公网IP地址进行全端口扫描,这里使用ScanPort,nmap虽然好但是相比之下还是速度慢。扫描结果和客户给的内网端口映射表不符,询问客户后得知应该是路由器缘故导致从内网访问部分公网端口不通。
使用VPS对公网IP地址进行全端口扫描,这次扫描的结果才符合,使用弱密码进行登录服务器成功。已经确定了攻击源,接下来对服务器进行分析。首先给大家介绍Xshell工具,这个工具可以同时对多台服务器进行管理。
同时连接到四台服务器上,使用 top 命令查看占用CPU高的进程。通过对比发现sysmd进程异常。
搜索sysmd文件发现在 /use/bin 下面,查看创建日期为二月份。通过 pstree 命令 sysmd 不依赖任何进程。
通过查看系统日志文件,二月份日志已删除。
查看历史命令记录,发现其中两台历史命令记录已删除,在其中一台上发现对sysmd进行搜索,并且编辑了开机启动脚本 /etc/rc.local 。
查看网络链接情况,sysmd 分别连接到不同的国外ip地址上。
对其中的一个ip地址进行查询为发现太坊矿池。
检查系统用户文件、密码文件、用户家目录,kernelsys用户ID为0并不是客户自己创建的。查看kernelsys用户登录日志未发现登录,查看拥有sudo权限的用户未发现异常。
检查开机启动脚本、计划任务、开机自启动服务等,在 rc.lcal 文件中存在sysmd。
通过排查问题大致情况已确认,下载sysmd文件后续进行分析,修改开机启动脚本删除sysmd开机自启动,修改用户密码为复杂密码,禁用kernelsys用户,删除sysmd文件的执行权限,重启观察服务器运行情况。整理报告!
以上就是如何进行Linux入侵排查,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
