仓酷云
标题:
带来一篇清查黑客打击经常使用linux下令
[打印本页]
作者:
精灵巫婆
时间:
2015-1-14 20:15
标题:
带来一篇清查黑客打击经常使用linux下令
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
1
能够得出filename正在运转的历程
#pidoffilename
2
能够经由过程文件大概tcpudp协定看到历程
#fuser-ntcpport
3
能够看文件修正工夫,巨细等信息
#statfilename
4
看加载模块
#lsmod
5
看rpc办事开放
#rpcinfo-p
6
看网卡是不是混同形式(promiscuousmod)
#dmesg|grepeth0
7
看下令是不是被变动,象md5sum一样
#rpm-Vf/bin/ls
rpm-Vf/bin/ps一般无输入,不然输入SM5....T/bin/su之类提醒
假如rpm的数据库被修正则不成靠了,只能经由过程收集或则cdrom中的rpm数据库来对照
如:rpm-Vvpftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm
以下经常使用下令必要反省
/usr/bin/chfn
usr/bin/chsh
/bin/login
/bin/ls
/usr/bin/passwd
/bin/ps
/usr/bin/top
/usr/sbin/in.rshd
/bin/netstat
/sbin/ifconfig
/usr/sbin/syslogd
/usr/sbin/inetd
/usr/sbin/tcpd
/usr/bin/killall
/sbin/pidof
/usr/bin/find
8
假如反省的是已确认被黑客打击的呆板,完善倡议:
1.dd一个备份硬盘上
2.mount一个光驱,下面有静态编译好的步伐lspsnetstat等经常使用工具
3.用nc把实行步调输入到近程呆板上
9
用md5sum保留一个全局的文件
find/sbin-typef|xargsmd5sum>1st
反省是不是改动
md5sum-c1st|grepOK
10
制止在已打击的呆板上过量写操纵,能够:
1.在另外一个呆板192.168.20.191上运转
nc-L-p1234>some_audit_output.log注重L是年夜写,能够永世侦听
2.被打击呆板上运转
command|nc192.168.20.1911234
或
script>/mnt/export.log
检测终了后用ctrl+d保留纪录
11
经由过程历程查找可疑步伐***:
1.netstat-anp这步次要靠履历,把可疑的都纪录上去
2.进进内存目次cd/proc/3299
3.ls-la,一样平常exe能够看到实行文件路径,
4.再进进fd目次检察文件句柄,至此一样平常都能够找出实行步伐
5.ps-awx把方才可疑的历程察看一遍
12
假如hacker把日记删除:
1.查找一切未被删除完全的日记,好比history,sniffer日记
2./proc/pid/fd目次里提醒已删除的文件
l-wx------1rootroot64Aug1020:5415->/var/log/httpd/error_log(deleted)
l-wx------1rootroot64Aug1020:5418->/var/log/httpd/ssl_engine_log(deleted)
3.用静态编译的lsof|grepdeleted检察哪些被删除
COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
gpm1650root1uREG8,25149743/var/run/gpm208raa(deleted)
4.失掉文件inode号,这里是149743
5.利用sleuthkit工具来规复,
df/var得出硬盘地位是sda1
icat/dev/sda1149743
6.把规复的文件细心检察,一样平常都能够找到陈迹了
如许会使剖析编译后的步伐坚苦
gcc-04-evil.c-oevil
strip./evil
1.file检察文件范例,是不是静态编译、是不是strip过
2.strings显现步伐中的asicc字符串,经由过程字符串再到谷歌上找
3.strace是跟踪体系挪用(这个还不晓得怎样用)strace-ppid
4.gdb(更不会用啦)
13
有些历程不在历程里显现,但在/proc中有陈迹,可对照找出埋没的历程
proc是伪文件体系,为/dev/kmem供应一个布局化的接口,便于体系诊断并检察每个正在运转的可实行文件的情况
#ps-ef|awk{print$2}|sort-n|uniq>1
#ls/porc|sort-n|uniq>2
#diff12
14
应急工具tct,内里有很多利用工具,包含icat等数据规复
假如在被打击的呆板取证,能够mount一块硬盘,也能够备份到收集中,***:
a.在收集呆板运转nc-L-p1234>abc.img
b.肉鸡运转ddif=/dev/hdb5count20000bs=1024|nc192.168.0.11234-w3
假如备份过年夜,则能够侦听多个端口,实行多个dd拷贝,然后把文件兼并cat2>>1.img
15
ldd能够显现一个可实行步伐所依附的静态库,但直接依附库没法显现出来
[root@rh9bkroot]#ldd/bin/ls
libtermcap.so.2=>/lib/libtermcap.so.2(0x40022000)
libc.so.6=>/lib/tls/libc.so.6(0x42000000)
/lib/ld-linux.so.2=>/lib/ld-linux.so.2(0x40000000)
strace工具是一个调试工具,它能够显现出一个步伐在实行过程当中的一切体系挪用,
[root@rh9bkroot]#strace-eopen/bin/ls>/dev/null
open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libtermcap.so.2",O_RDONLY)=3
open("/lib/tls/libc.so.6",O_RDONLY)=3
open("/usr/lib/locale/locale-archive",O_RDONLY|O_LARGEFILE)=3
open(".",O_RDONLY|O_NONBLOCK|O_LARGEFILE|O_DIRECTORY)=3
open("/etc/mtab",O_RDONLY)=3
open("/proc/meminfo",O_RDONLY)=3
strace-oouttelnet192.168.100.100
o参数的寄义是将strace的输入信息天生到out文件中,这个文件名是能够随便制订的。
我们翻开out文件会发明大批的体系挪用信息,我们体贴的次要是open这个体系挪用的信息,open是用来翻开文件的,不但挪用静态库要先用open翻开,读取设置文件也利用open,以是用sed写一个复杂的剧本就能够输入out文件中一切的open信息
sed-n-e‘/^open/p’out
输入信息以下:
open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libutil.so.1",O_RDONLY)=3
open("/usr/lib/libncurses.so.5",O_RDONLY)=3
open("/lib/i686/libc.so.6",O_RDONLY)=3
open("/etc/resolv.conf",O_RDONLY)=3
open("/etc/nsswitch.conf",O_RDONLY)=3
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libnss_files.so.2",O_RDONLY)=3
open("/etc/services",O_RDONLY)=3
open("/etc/host.conf",O_RDONLY)=3
open("/etc/hosts",O_RDONLY)=3
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libnss_nisplus.so.2",O_RDONLY)=3
open("/lib/libnsl.so.1",O_RDONLY)=3
open("/var/nis/NIS_COLD_START",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libnss_dns.so.2",O_RDONLY)=3
open("/lib/libresolv.so.2",O_RDONLY)=3
open("/etc/services",O_RDONLY)=3
open("/root/.telnetrc",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/usr/share/terminfo/l/linux",O_RDONLY)=4
从输入中能够发明ldd显现不出来的几个库
/lib/libnss_dns.so.2,
/lib/libresolv.so.2,
/lib/libnsl.so.1,
/lib/libnss_nisplus.so.2,
/lib/libnss_files.so.2
strace-oaa-ff-pPID会发生aa称号开首的多个文件
grepopenaa*|grep-v-eNo-enull-edenied|grepWR检察其翻开挪用的文件信息。
16
要把日记发送到日记主机步调:
a.vi/etc/syslog.conf*.*@192.168.20.163把一切日记发送到192.168.20.163
b.servicesyslogrestart
c.在192.168.20.163装置kiwisyslogd
d.近程上岸,存心输出毛病暗码,可看到日记主机下马上有报警,也能够tcpdumpport514察看
17
假如晓得黑客是0927进侵的,则:
touch-t09270000/tmp/a
find/(-newer/tmp/a-o-cnewer/tmp/a)-l
如许那天改动和创立的文件被列出
18
整盘复制
ddif=/dev/sdaof=/dev/sdbbs=1024
分区复制测试过
ddif=/dev/sda1of=/abcbs=1024这里是保留在了根分区,用mount检察是sda2
启动另外一个linux
输出:mount/dev/sda2/mnt
这里能够看到方才的abc文件,输出:mountaa/tmp-oloop
这里看到就是方才镜像的文件内容
19find
查找指定字符的文件(测试发明二进制也能够发明,是strings后的内容)
find/tmp-typef-execgrep"noexist"{};-print
find/etc/rc.d-name*crond-execfile{};
查找/etc/rc.d目次上面一切以crond停止的文件,并利用file指令检察其属性,注重:exec和file间是一个空格,file和{}间是一个空格,file和;之间是一个空格,;是一个全体。
20
kill-SIGSEGV历程号会发生一个core文件,用strings能够看信息,用一个c步伐能够从头构建它的可实行步伐,study/unix/下保留一个文章。测试没发生core,缘故原由
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!
作者:
小魔女
时间:
2015-1-15 10:38
标题:
带来一篇清查黑客打击经常使用linux下令
蒙太奇手法,高
作者:
爱飞
时间:
2015-1-25 18:56
通过一条缓慢的调制解调器线路,它也能操纵几千公里以外的远程系统。
作者:
只想知道
时间:
2015-2-4 01:42
其实老师让写心得我也没怎么找资料应付,自己想到什么就写些什么,所以不免有些凌乱;很少提到编程,因为那些在实验报告里已经说了,这里再写就多余了。
作者:
不帅
时间:
2015-2-9 13:25
尽我能力帮助他人,在帮助他人的同时你会深刻巩固知识。
作者:
灵魂腐蚀
时间:
2015-2-27 15:01
任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。
作者:
深爱那片海
时间:
2015-3-9 15:22
最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。
作者:
小魔女
时间:
2015-3-17 03:10
一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了,因为有的头文件在VC里面说找不到。?
作者:
再现理想
时间:
2015-3-23 22:06
其中不乏很多IT精英的心血。我们学透以后更可以做成自己的OS!?
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2