更新时间:2022-12-12 GMT+08:00
排查过程
本章节介绍Linux操作系统中主机安全排查的具体过程。
操作步骤
- 查看主机是否存在异常进程。
查询命令:top
根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。
- 根据异常进程PID值,查看文件位置。
查询命令:lsof -p+进程PID值(如25267)
- 发现目录下的异常文件(带有xmr或mine的标识)。
- 查看文件命令:ll -art
- 查询木马路径:pwd
查询文件中是否存在异常地址:strings +文件名(如config.json)+ |grep xmr
建议重点排查以下目录:/etc为配置文件、/tmp为临时文件、/bin为可执行文件。
- 用户命令;用到的库文件可能在/lib,配置文件可能在/etc,/sbin为可执行文件。
- 管理命令;用到的库文件可能在/lib,配置文件可能在/etc,/usr/为只读文件,shared read-only,/usr/local为第三方软件)
- Linux命令大全请参见Linux命令大全。
- 发现疑似矿池信息,将URL(xmr.flooder.org:80)放到微步上检测,结果为矿池。
- 查看文件命令:ll -art
- 查看主机用户权限。
查询命令:cat /etc/passwd|grep +用户名(如bash)
nologin的用户没有登录权限,此处需重点查看存在登录权限的用户。
- 根据主机登录日志文件,查看异常登录记录。
查询命令:cat +文件名(如 secure)|grep Acc|grep +用户名(如oracle)
根据成功日志寻找登录主机的习惯时间,需关注与木马植入相近的时间。
根据登录的时间关注是否有异常IP登录及登录的频次(包括成功或失败的次数),若异常IP登录次数多则疑似为爆破行为。
- 如果上述方法均不能解决您的疑问,请“提交工单”寻求更多帮助。
父主题: 主机安全排查(Linux操作系统)