• Linux 命令被劫持,应急处理办法


    在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。

    这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。


    1、AIDE 入侵检测

    AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据库而获取文件变更记录。

    1.aide安装配置

    复制代码
    #直接安装aide
    yum install aide -y
    #生产初始化数据库
    sudo aide --init
    #根据配置文件命名规则生成新的数据库文件,需要重命名,以便AIDE读取。
    sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
    复制代码

    2、进行检测对比

    sudo aide --check

    2、RPM 检查

    通过rpm -Va来检查已安装的rpm包的完整性,防止rpm也被替换,可上传一个安全干净稳定版本的rpm二进制文件到服务器上进行检查。

    如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。

    验证内容中的8个信息的具体内容如下:

    复制代码
            S         文件大小是否改变
            M         文件的类型或文件的权限(rwx)是否被改变
            5         文件MD5校验是否改变(可以看成文件内容是否改变)
            D         设备中,从代码是否改变
            L         文件路径是否改变
            U         文件的属主(所有者)是否改变
            G         文件的属组是否改变
            T         文件的修改时间是否改变
    复制代码

    博主简介:博主国内安全行业目前最强大的网络安全公司做技术研究员,常年做技术工作。 获得过以下全国竞赛大奖: 《中国电子作品大赛一等奖》 《云计算技术大赛一等奖》 《AIIA人工智能大赛优胜奖》《网络安全知识竞赛一等奖》 《高新技术个人突出贡献奖》,并参与《虚拟化技术-**保密**》一书编写,现已出版。还拥有多项专利,多项软件著作权! 且学习状态上进,立志做技术牛逼的人。座右铭:在路上,永远年轻,永远热泪盈眶。可邮件联系博主共同进步,个人邮箱:pigeon_code@163.com
  • 相关阅读:
    hyperV 虚拟机的创建和内存管理
    诡异~~ASP.NET 程序 无法上传文件 (这个..自己大意造成的嘛~~)
    多线程扫描,多线程采集, ftpscan.NET
    ASP.NET 调试
    Hyperv 如何使用WMI向虚拟计算机附加硬盘
    VS2008SP1显示中文版的智能感知提示信息
    NGIX
    python3的linux环境编译安装
    NGIX之项目布署
    android之自定义ViewGroup和自动换行的布局的实现(支持按钮间隔)
  • 原文地址:https://www.cnblogs.com/mutudou/p/15029670.html
Copyright © 2020-2023  润新知