淦、我的服务器又被攻击了

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

最近老是有粉丝问我,被黑客攻击了,一定要拔网线吗?还有没有别的方法?

按理说,如果条件允许,一定是先拔网线,防止横向传播。

但很多时候并不能拔网线,比如云服务器这种,网线咱也碰不到呀。

实际上,遇到黑客攻击,并非只有拔网线这一条路,黑客也是人,只要他来攻击,就一定会留下蛛丝马迹。

接下来,我们从7个方向入手,讲解一下分析思路,了解黑客的攻击路径,甚至反制。
在这里插入图片描述

  • 一、账户分析
    • 1、排查可疑账户
    • 2、登录情况
    • 3、历史命令
  • 二、日志分析
  • 三、进程分析
    • 1、查看进程
    • 2、查看进程执行文件
  • 四、网络连接
    • 1、查看网络链接状态
    • 2、威胁情报分析
  • 五、启动项
    • 1、开机启动文件
    • 2、开机启动命令
    • 3、环境变量配置文件
  • 六、计划任务
  • 七、敏感目录文件
    • 1、近期被修改的文件
    • 2、敏感目录

一、账户分析

/erc/passwd 文件存放用户信息。
/bin/bash 表示账户状态为可登录;/sbin/nologin 表示用户状态为不可登录。

在这里插入图片描述

/etc/group 文件存放用户组信息

在这里插入图片描述

1、排查可疑账户

重点排查id大于1000的用户(新建的用户,id会大于1000,系统用户均小于500)。
awk -F: '($2=="")' /etc/shadow 查找空口令账号
awk -F: '($3==0)' /etc/passwdgrep "0:0" /etc/passwd 查找UID为0的超级权限账号,确保只有root。
grep "/bin/bash" /etc/passwd 查找可登录的账号

2、登录情况

who -b 上一次启动时间

在这里插入图片描述

w 查看登录的用户(登录时间、登录IP、正在执行的程序)。

在这里插入图片描述

lastb 查看用户失败信息。

在这里插入图片描述

lastlog 查看所有用户最后登录的信息。

在这里插入图片描述

last 查看最近的登录信息(包含系统开关机)

在这里插入图片描述

3、历史命令

history 查看历史命令。( 会被 history -c 清除)。
/root/.bash_history 文件保存root用户的历史命令
/home/user001/.bash_history 文件保存普通用户的历史命令

history 的历史命令会被 history -c 清除,而 bash_history 文件中的历史命令需要删除文件才能清除。

重点查看可疑历史命令,比如:wget(远程下载),ssh(连接内网),tar zip(压缩打包)

针对重装带后门的SSH服务(内置一个账户,不在系统中显示),可以检查修改修改时间,或者 ssh -V 查看版本。

在这里插入图片描述


二、日志分析

Linux系统日志默认放在 /var/log/

  • /var/log/cron 计划任务日志。
  • /var/log/dmesg 开机自检日志(dmesg命令查看)。
  • /var/log/maillog 邮件日志。
  • /var/log/messages 系统日志(系统出现问题时,重点查看此日志)。
  • /var/log/secure 应用的登录信息及输入的账号密码。

grep "Accepted" /var/log/secure 过滤登录成功的日志

在这里插入图片描述

grep "Failed" /var/log/secure 过滤登录失败的日志

在这里插入图片描述

​/var/log/apache2/access.log Apache访问日志


三、进程分析

重点关注那些结束后会重新启动的进程,按照启动项的步骤分析它重启的方式。

1、查看进程

ps -ef 查看所有进程

在这里插入图片描述

ps -aux 查看所有进程,同时显示CPU和内存的使用情况。

在这里插入图片描述

top 查看CPU占用特别高(80%以上)的进程,可能是挖矿或业务高峰。

在这里插入图片描述

kill -9 PID 根据PID结束进程。

2、查看进程执行文件

ls0f -p 1546 查看PID为1546的进程打开的文件,第三行是进程对应的执行文件。

在这里插入图片描述

ll /proc/1546/exe 查看PID为1546的进程对应的执行程序。

在这里插入图片描述

lsof -i:22 查看22端口对应的进程。

在这里插入图片描述


四、网络连接

检查可疑的网络连接,可疑IP、域名、文件可疑拿到威胁情报平台去分析。

1、查看网络链接状态

netstat -anopt 检查网络连接状态,LISTEN表示监听状态(等待连接);ESTABLISHED表示打开的连接。

在这里插入图片描述

如果已经知道恶意IP,可以过滤查看与恶意IP通信的网络连接 netstat -anopt | grep 192.168.31.28

如果只知道恶意域名,可以修改 /etc/hosts 文件,将恶意域名重定向到其他任意IP,然后再过滤跟这个IP通信的网络连接。

在这里插入图片描述

2、威胁情报分析

威胁情报平台可以查询域名、IP、文件的可信度,存在攻击痕迹就立即封禁。

奇安信威胁情报:https://ti.qianxin.com/
微步在线:https://x.threatbook.com/
VirusTotal:https://www.virustotal.com/gui/home/upload
安恒威胁情报:https://ti.dbappsecurity.com.cn/
深信服威胁情报:https://ti.sangfor.com.cn/analysis-platform
VenusEye威胁情报:https://www.venuseye.com.cn/
360威胁情报:https://ti.360.net/#/homepage


五、启动项

为了防止被控机器失联,很多恶意程序会将自己放到开机启动项中。

1、开机启动文件

检查是否有异常的自启动文件,同时注意文件内容是否被篡改,插入恶意指令。

1)/etc/rc.local

最后一行是脚本,开机引导期间执行。

在这里插入图片描述

/etc/rc.local/etc/rc.d/rc.local 的软连接,两个文件作用相同。

在这里插入图片描述


2)/etc/init.d/

目录下有很多系统服务的启动脚本,在系统启动(引导完成)后执行。

在这里插入图片描述

/etc/init.d//etc/rc.d/init.d/ 的软连接,两个文件作用相同。

在这里插入图片描述

Ubuntu没有 /etc/rc.d/init.d 这个目录,为了保持同一种服务在CentOS和Ubuntu使用的统一性,将服务脚本都放在 /etc/init.d 目录下。


3)/etc/rc*.d

检查其他开机启动目录中,服务启动脚本是否被篡改。

在这里插入图片描述

2、开机启动命令

systemctl list-unit-files 查看服务状态
systemctl list-unit-files | grep firewalld 查看指定服务状态
systemctl stop firewalld.service 停止服务
systemctl disable firewalld.service 禁止开机自启动

查看服务启动状态,enabled表示能够开机自启动;disabled表示不能开机自启动。

在这里插入图片描述

查看指定服务是否开机自启动,并关闭开机自启动。

在这里插入图片描述

3、环境变量配置文件

这些文件用来配置环境变量和启动程序,开机登录用户或者切换用户时触发。

  • /etc/bashrc
  • /etc/profile
  • ~/.bashrc
  • ~/.bash_profile

六、计划任务

crontab -l 查看当前用户的计划任务。
crontab -l -u root 查看指定用户的计划任务。

/etc/crontab 保存定时任务
/etc/anacrontab 保存异步定时任务
/var/spool/cron/ 目录存放每个用户的的定时任务。

在这里插入图片描述

/etc/cron.d 目录存放需要执行的定时任务文件。

在这里插入图片描述

/etc/cron.hourly/ 每小时执行一次的任务
/etc/cron.daily/ 每天执行一次的任务
/etc/cron.weekly/ 每周执行一次的任务
/etc/cron.monthly/ 每月执行一次的任务


七、敏感目录文件

webshell通常会包含恶意函数,比如:

  • PHP:eval()、system()、assert()
  • JSP:getRunTime()、FileOutputStream()
  • ASP:eval()、execute()、ExecuteGlobal()

寻找可疑文件,并检查文件中是否包含这类恶意函数,从而确定它是不是webshell。

1、近期被修改的文件

find /root/ -ctime -2 查找/root/目录下,两天内新创建的文件。
find /root/ -mtime -2 查找/root/目录下,两天内被修改过的文件。

在这里插入图片描述

stat text.txt 查看文件的详细信息,重点看访问/修改/时间。

在这里插入图片描述

ls -alt 按照文件修改时间排序

2、敏感目录

/tmp/ 临时目录,普通用户对其目录内的文件都具有读写的权限,通常用于提权。
/usr/bin/
/usr/sbin/
/etc/ssh/

总结:

应急响应思路大致分为三个部分:

  1. 找到webshell
  2. 确定攻击IP
  3. 回溯攻击操作并梳理攻击过程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/2072.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

给你一个 ChatGPT,你真的会问吗?

ChatGPT 为全球用户提供了实时智能对话能力。尽管在国内使用存在一定困难,但我们带来了在 Bohrium 平台的解决方案。 通过阅读本篇文章,了解如何在国内方便快捷地使用 ChatGPT,以及使用其国内友好、全程免费的 API 接口优化你的业务场景&…

国内“谁”能实现chatgpt,以及对MOSS、ChatYuan算法侧简评

★★★ 本文源自AlStudio社区精品项目,【点击此处】查看更多精品内容 >>> 1.ChatGPT简介【核心技术、技术局限】 ChatGPT(全名:Chat Generative Pre-trained Transformer),美国OpenAI 研发的聊天机器人程序…

ChatGPT推广指南,手把手教学

近期很多朋友对推广ChatGPT网站非常感兴趣,今天我就统一大家进行回复。其实非常简单,只要您会操作智能手机和电脑就可以。 网站登录流程我就不给大家赘述了,直接进入主题,全程干货仔细看 1.个人中心。点击右上角——“头像”——…

OpenAI(chatgpt)提示Account deactivated怎么办?

最近几天,有不少朋友在登陆自己的OpenAI(chatgpt)的帐号时,出现了下面的提示: Account deactivated.Please contact us through our help center at OpenAI Help Center if you nee assistance.(erroraccount_deactivated) 经过仔细分析&…

ChatGPT+低代码,将干掉40%的程序员

作者| Mr.K 编辑| Emma 来源| 技术领导力(ID:jishulingdaoli) 关于程序员失业有个段子:拖拽建站出来的时候,他们人说程序员会失业;低代码出来了,他们说程序员会失业;Copilot出来了,他们说程序…

国内使用Claude教程,简洁版

下面开始教程,首先你需要准备一个海外邮箱账户,gmail、苹果邮箱、outlook、hotmail都行,国内的收不到验证码不行。 1.下载slack,salck是海外版的企业沟通软件,类似于国内的企业微信和钉钉、飞书。 也可以网页直接打开…

如何评价一个新技术——以 ChatGPT 为例

开源社KAIYUANSHE 近期微信公众号订阅功能做调整啦! 没有被星标的账号在信息流里可能不显示大图了! 快星标⭐我们,就可以及时看到发布的文章啦! STEP01 点击右上角标志 STEP02 点击【设为星标】 缘起 2015 年的时候,我…

对ChatGPT的二十点看法

TJUNLP 作者 | 熊德意 编辑 | 黄宇霏 【导读】二十点看法分为五大部分:总体看法、ChatGPT技术发展、国内同类技术、ChatGPT背后大模型技术的争议、未来趋势。 一、总体看法 1. 从人工智能发展角度看,这是认知智能发展的一个重要里程碑,其意义…

对于chatGPT的评价-ChatGPT的内容生成

chatGPT的优缺点 ChatGPT是一种基于深度学习技术的自然语言处理算法,其相比传统的自然语言处理算法具有很多优势。下面是ChatGPT的优点和缺点: 优点: 可适应多种任务:ChatGPT是一个通用的自然语言处理算法,可以适应多…

chatgpt源码部署教程

chatgpt是一个基于GPT-3模型的聊天机器人项目,它能够与用户进行自然语言交互,并提供各种实用的功能。然而,对于许多开发者来说,将chatgpt源码部署到自己的服务器上并不是一件容易的事情。在本篇文章中,我们将为大家提供…

建立自己的ChatGPT:LLama私有化部署及测试

大语言模型(LLM)现在非常流行,可惜ChatGPT等都不开源。大家没法搭建一个自己的环境来感受以下。幸好Meta开源了LLama,这是LLama的介绍: https://ai.facebook.com/blog/large-language-model-llama-meta-ai/ 具体技术…

保姆级别 Vercel 部署 ChatGPT

最近ChatGPT都火出圈了,你还在用别人的服务吗? 你还在用别人的域名吗?你还在为网络感到烦恼吗?今天,这篇文章带你部署自己的ChatGPT 老规矩看看效果图 准备工作 这里用 ChatGPT项目 进行部署,Vercel 进行…

windows下免费本地部署类ChatGpt的国产ChatGLM-6B

ChatGLM-6B 是一个开源的、支持中英双语的对话语言模型,基于 General Language Model (GLM) 架构,具有 62 亿参数。结合模型量化技术,用户可以在消费级的显卡上进行本地部署(INT4 量化级别下最低只需 6GB 显存)。 Chat…

ChatGPT API调用+服务器部署【附Git地址】

文章目录 一、关键代码二、使用步骤1.获取代码2.服务器部署 总结 运行对话效果图 一、关键代码 public class Main {public static final String URL "https://api.openai.com/v1/chat/completions";// 你的 API KEYpublic static final String APT_KEY "sk…

部署ChatGPT(在VPS或免费容器上),无需科学上网!

部署ChatGPT(在VPS或免费容器上),无需科学上网! 文章目录 部署ChatGPT(在VPS或免费容器上),无需科学上网!前提方案一(VPS)方案二(免费容器) 前提 已经注册了openAI ,或者…

chatGPT:12.12 之后更新的 chatGPT 的本地部署和接口调用,解决 response 403 (无法连接openai服务器)问题

文章目录 问题源代码改动Session token 的获取cf_clearance 的获取user-agent 的获取将 config.json.sample 内容修改并移动位置附注:环境配置python > 3.7特别提示playwright & cf_clearancerevChatGPT 版本httpxOpenAIAuth删除 import 中的错误 后记 问题 …

【LangChain】如何本地部署基于chatGPT的实时文档和表格数据的助手,在自己的数据上构建chatGPT?

【LangChain】如何本地部署基于chatGPT的实时文档和表格数据的助手,在自己的数据上构建chatGPT 1 相关技术 (1)LangChain 是一个用于自然语言处理的 Python 库,它的目标是尝试简化自然语言处理任务,提高处理效率和准…

ChatGPT一键私有部署,全网可用,让访问、问答不再受限,且安全稳定!

前言 ChatGPT由于在访问上有一些限制,使用并不便利。目前国内可以直接访问的大部分是调用API返回结果,我们去使用时总会有次数限制,而且它们可能随便崩掉。 其实,目前我们访问过的大部分国内的网页包括UI,其实是套用了…

快速部署个人-ChatGPT Next Web

前提:要有梯子、谷歌账号。 目录 一、源码地址: 二、演示地址: 三、获取API密钥 四、 部署 五、重新部署 六、无梯子访问 一、源码地址: GitHub - Yidadaa/ChatGPT-Next-Web: One-Click to deploy well-designed ChatGP…

docker部署chat-web,实现自己的ChatGPT

本篇文章的前提是请确认已获得openai 的API-KEYS,即以sk-开头的keys;是否在服务器上安装了docker以及docker-compose docker以及docker-compose安装请参考我的博文:CENTOS8.0安装DOCKER&DOCKER-COMPOSE_wd520521的博客-CSDN博客 一、&a…