更新时间:2023-07-04 GMT+08:00
分享

排查过程

本章节介绍Linux操作系统中主机安全排查的具体过程。

操作步骤

  1. 查看主机是否存在异常进程。

    查询命令:top

    根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。

  2. 根据异常进程PID值,查看文件位置。

    查询命令:lsof -p+进程PID值(如25267)

  3. 发现目录下的异常文件(带有xmr或mine的标识)。

    1. 查看文件命令:ll -art

    1. 查询木马路径:pwd

      查询文件中是否存在异常地址:strings +文件名(如config.json)+ |grep xmr

      建议重点排查以下目录:/etc为配置文件、/tmp为临时文件、/bin为可执行文件。

      • 用户命令;用到的库文件可能在/lib,配置文件可能在/etc,/sbin为可执行文件。
      • 管理命令;用到的库文件可能在/lib,配置文件可能在/etc,/usr/为只读文件,shared read-only,/usr/local为第三方软件)
      • Linux命令大全请参见Linux命令大全
    1. 发现疑似矿池信息,将URL(xmr.flooder.org:80)放到微步上检测,结果为矿池。

  4. 查看主机用户权限。

    查询命令:cat /etc/passwd|grep +用户名(如bash)

    nologin的用户没有登录权限,此处需重点查看存在登录权限的用户。

  5. 根据主机登录日志文件,查看异常登录记录。

    查询命令:cat +文件名(如 secure)|grep Acc|grep +用户名(如oracle)

    根据成功日志寻找登录主机的习惯时间,需关注与木马植入相近的时间。

    根据登录的时间关注是否有异常IP登录及登录的频次(包括成功或失败的次数),若异常IP登录次数多则疑似为爆破行为。

  6. 如果上述方法均不能解决您的疑问,请“提交工单”寻求更多帮助。

相关文档