Linux 命令被劫持,應急處理辦法
阿新 • • 發佈:2021-07-19
在一些應急場景中,我們經常會遇到有些木馬會替換常用的系統命令進行偽裝,即使我們清理了木馬,執行ps、netstat等系統命令時又啟動了木馬程序。
這種手法相對比較隱蔽,排查起來也比較困難,本文分享兩種比較簡單的排查技巧。
1、AIDE 入侵檢測
AIDE 是一款入侵檢測工具,主要用途是檢查文件的完整性。通過構建一個基準的資料庫,儲存文件的各種屬性,一旦系統被入侵,可以通過對比基準資料庫而獲取檔案變更記錄。
1.aide安裝配置
#直接安裝aide yum install aide -y #生產初始化資料庫 sudo aide --init #根據配置檔案命名規則生成新的資料庫檔案,需要重新命名,以便AIDE讀取。 sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
2、進行檢測對比
sudo aide --check
2、RPM 檢查
通過rpm -Va來檢查已安裝的rpm包的完整性,防止rpm也被替換,可上傳一個安全乾淨穩定版本的rpm二進位制檔案到伺服器上進行檢查。
如果一切均校驗正常將不會產生任何輸出,如果有不一致的地方,就會顯示出來,輸出格式是8位長字串,每個字元都用以表示檔案與RPM資料庫中一種屬性的比較結果 ,如果是. (點) 則表示測試通過。
驗證內容中的8個資訊的具體內容如下:
S 檔案大小是否改變 M 檔案的型別或檔案的許可權(rwx)是否被改變 5 檔案MD5校驗是否改變(可以看成檔案內容是否改變) D 裝置中,從程式碼是否改變 L 檔案路徑是否改變 U 檔案的屬主(所有者)是否改變 G 檔案的屬組是否改變 T 檔案的修改時間是否改變
博主簡介:博主國內安全行業目前最強大的網路安全公司做技術研究員,常年做技術工作。 獲得過以下全國競賽大獎: 《中國電子作品大賽一等獎》 《雲端計算技術大賽一等獎》 《AIIA人工智慧大賽優勝獎》《網路安全知識競賽一等獎》 《高新技術個人突出貢獻獎》,並參與《虛擬化技術-**保密**》一書編寫,現已出版。還擁有多項專利,多項軟體著作權! 且學習狀態上進,立志做技術牛逼的人。座右銘:在路上,永遠年輕,永遠熱淚盈眶。可郵件聯絡博主共同進步,個人郵箱:[email protected]