域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
領(lǐng)導(dǎo): 說說吧,咋回事?
服務(wù)器: 咱們集團(tuán)的對(duì)外應(yīng)用服務(wù)器——也就是我——突然訪問異常了
領(lǐng)導(dǎo): ……我是問原因!
服務(wù)器: 會(huì)不會(huì)是,斷網(wǎng)了?
網(wǎng)絡(luò): 我一切正常。
服務(wù)器: 那就是服務(wù)掛死了!
服務(wù): 嘖,應(yīng)該是服務(wù)器中病毒了,得重啟!
服務(wù)器: 要不先插拔下網(wǎng)線試試?
領(lǐng)導(dǎo):…… 服務(wù)器,你要是再不恢復(fù),就別干了!
領(lǐng)導(dǎo)&服務(wù)器: 唉,我需要一顆速效救心丸!
安博通“服務(wù)在線”: 誰叫我?
服務(wù)器異常不要慌
安博通“服務(wù)在線”幫你忙
安博通“服務(wù)在線”: 放輕松,只要遵循下面這本《指南》,就能對(duì)異常問題手到擒來。
1、檢查用戶和密碼文件中(/etc/passwd和/etc/shadow中)是否有陌生賬號(hào),尤其是賬號(hào)后面是否有“nologin”,沒有的一定要重點(diǎn)關(guān)注。
2、使用who命令查看當(dāng)前登錄用戶,其中tty為本地登錄、pts為遠(yuǎn)程登錄;使用w命令查看系統(tǒng)信息。可以得到某一時(shí)刻的用戶行為、uptime、登錄時(shí)間、用戶總數(shù)、負(fù)載等信息,用于判定異常問題。
3、修改/etc/profile文件,在尾部添加相應(yīng)的顯示時(shí)間、日期、IP、命令腳本代碼,輸入history命令,就能讓攻擊者的IP、攻擊時(shí)間、歷史命令時(shí)間等信息無所遁形。
4、使用netstat-anltup命令,分析端口、IP、PID,查看PID對(duì)應(yīng)的進(jìn)程文件路徑,運(yùn)行l(wèi)s-l/proc/$PID/exe或file/proc/$PID/exe程序($PID為對(duì)應(yīng)的PID號(hào))。
使用ps命令,分析進(jìn)程ps aux | grep pid .
使用vi/etc/inittab查看系統(tǒng)當(dāng)前的運(yùn)行級(jí)別,通過運(yùn)行級(jí)別檢查/etc/rc.d/rc[0-6].d對(duì)應(yīng)的目錄中,是否存在可疑文件。(0-6對(duì)應(yīng)的是級(jí)別runlevel)
5、查看crontab定時(shí)任務(wù),是否存在可疑腳本(是否存在攻擊者創(chuàng)建可疑腳本)。使用chkconfig–list檢查,是否存在可疑服務(wù)。
6、使用grep awk命令,分析/var/log/secure安全日志中是否存在攻擊痕跡。可以結(jié)合找到的異常文件名、異常進(jìn)程、異常用戶等進(jìn)行分析。
7、還可以使用工具,例如chkrookit、rkhunter、Clamav病毒后門查殺工具,對(duì)Linux系統(tǒng)文件進(jìn)行查殺。
如果有Web站點(diǎn),可以使用D盾、河馬等查殺工具,或者手工對(duì)代碼按照腳本木馬關(guān)鍵字、關(guān)鍵函數(shù)(eval、system、shell_exec、exec、passthru system、popen)查殺webshell后門。
服務(wù)器: 感謝《指南》,救我器命!
《指南》只是安博通海量秘籍中的一本,安博通“服務(wù)在線”已為眾多用戶提供網(wǎng)絡(luò)安全產(chǎn)品方案的運(yùn)維保障服務(wù)。2022年,安博通服務(wù)團(tuán)隊(duì)助力用戶治理核心業(yè)務(wù)中的痛點(diǎn),賦能網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,贏得了眾多認(rèn)可與好評(píng)。安博通各行業(yè)&區(qū)域服務(wù)團(tuán)隊(duì)整裝待發(fā),為您提供安全運(yùn)維的“定心丸”。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!