1.查看哪些用戶擁有/bin/bash權限
cat /etc/passwd
2.檢查常用命令是否被篡改
(1)找到命令文件的路徑(whereis和which)
whereis netstat
which netstat
which netstat
/bin/netstat
whereis netstat
netstat: /bin/netstat /usr/share/man/man8/netstat.8.gz
(2)觀察命令的屬性,主要看修改時間和大小(stat和ll)
stat /bin/netstat
ll -h /bin/ps
-rwxr-xr-x. 1 root root 81K Nov 15 2012 /bin/ps
如果發現命令異常,可能被篡改,可以上傳到微步鑑別一下。爲了排除干擾,建議從其他正常系統中拷貝命令集使用。
stat 可以查看文件的訪問、修改、改變時間
對文件使用more\less\cat命令後文件的訪問時間分別變化爲最後一次訪問的時間,而文件的修改時間和改變時間並沒有發生變化。
stat /bin/netstat
File: `/bin/netstat'
Size: 123360 (Byte) Blocks: 248 IO Block: 4096 regular file
Device: fc01h/64513d Inode: 5219 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2018-05-07 17:00:50.927556605 +0800
Modify: 2012-05-10 16:17:33.000000000 +0800
Change: 2015-11-17 18:47:03.594999914 +0800
觀察文件大小,如果特別大即有可能異常
觀察列出的第三行最後改動時間,如果爲事發時間附近即有可能異常
3.文件隱藏屬性attrtest
(1)顯示文件attrtest隱藏屬性lsattr attrtest
(2)給文件attrtest添加或者刪除i屬性
chattr +i attrtest
chattr -i attrtest
4.檢查history命令輸出爲空
ls -l ~/.bash_history
在你執行了上述的命令後你將看到類似以下的正常輸出:-rw—— 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
如果你看到以下的輸出:
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
表明這個 .bash_history 文件已經被重定向到/dev/null.這是一個致命的信息。
如何清空歷史記錄history?
linux 清空history以及記錄原理
1、當前session執行的命令,放置緩存中,執行exit時,把緩存信息寫入~/.bash_history
2、當session直接被kill時,緩存中的歷史命令不會寫入~/.bash_history
3、正確清空當前用戶的history的方法
~/.bash_history
history -c #清空當前緩存中的命令
exit #關閉shell連接,可以避免寫入~/.bash_history
#執行exit,會把該命令記錄到~/.bash_history文件去"
5.環境變量和當前連接IP
env
6.歡迎語
cat /etc/motd 切數據,勒索的多用
7.重啓關機記錄
(1)last
last | grep rebootlast | grep shutdown
(2)messages log
在/var/log/messages日誌中查詢reboot (系統重啓) 或者halt(系統關機)
grep reboot /var/log/messages
grep halt /var/log/messages
8.踢出惡意用戶的連接、kill 惡意進程、reset 用戶密碼
(1)根據TTY提出可疑用戶:pkill -kill -t tty1
(2)根據PID殺掉惡意進程:kill -9 31685
(3)修改用戶密碼
修改user1的密碼passwd user1
修改當前用戶的密碼passwd
9.rm刪除惡意文件
刪除文件夾:
rm -rf /var/log/httpd/access
將會刪除/var/log/httpd/access目錄以及其下所有文件、文件夾
刪除文件:
rm -f /var/log/httpd/access.log
將會強制刪除/var/log/httpd/access.log這個文件
10.Iptables保存、重啓、關閉、列出規則、添加規則
iptables相關使用說明
(1)保存iptables配置service iptables save
(2)關閉、開啓、重啓防火牆
/etc/init.d/iptables stop
/etc/init.d/iptables start
/etc/init.d/iptables restart
/etc/init.d/iptables status
service iptables start
service iptables stop
service iptables restart
service iptables status
(3)凡是對iptables做完修改都應該保存設置並重啓
(4)查看Iptables轉發規則:cat /etc/sysconfig/iptables或者service iptables status
iptables -L列出規則
iptables -L -n -v" "Iptables規則:只允許192.168段的IP訪問
iptables -A INPUT -p tcp --dport 54321 -j DROP
iptables -A INPUT -p tcp -s 192.168.0.0/16 --dport 54321 -j ACCEPT
或
iptables -I INPUT -p tcp --dport 11211 -j DROP
iptables -I INPUT -s 192.168.0.0/16 -p tcp --dport 11211 -j ACCEPT
service iptables save
service iptables restart
Iptables刪除規則
iptables -D INPUT -p tcp --dport 11211 -j DROP
重啓網卡 "啓動、關閉、重啓網卡eth0
ifconfig eth0 up
ifconfig eth0 down
ifconfig eth0 down && ifconfig eth0 up
ifdown eth0
ifup eth0
啓動、關閉、重啓所有網卡
service network restart
service network start
service network stop
systemctl restart network
一些情況下service命令會收給root使用,而普通用戶在特定情況下仍可以使用ifconfig。