排查异常linux环境排查方向和思路
劫持排查
- 排查环境是否被劫持,以及劫持环境变量
恶意用户排查
- 排查 home 下用户
- 排查 /etc/passwd 下,拥有 shell 权限、root 权限、特殊权限的用户
- 排查 /etc/shadow 下,空口令用户(无密码登录用户)
- 排查 sudo 中权限异常用户
- 排查 拥有 authorized_keys 免密登录用户
进程分析 恶意进程排查
- 排查 恶意挖矿脚本
- 排查 恶意启动,恶意命令执行的进程
- 排查 隐藏pid检
- 排查 被恶意替换命令名称的进程
- 排查 被恶意 mount 挂载的进程
网络分析 网络排查
- 分析网络对外连接
- 检测存在的网卡
- hosts 排查
文件分析 恶意文件检测
- /usr/bin 排查 ls -alt /usr/bin
- /tmp 排查
- webroot webshell
后门分析 后门排查
- LD_PRELOAD后门检测
- LD_AOUT_PRELOAD后门检测
- LD_ELF_PRELOAD后门检测
- LD_LIBRARY_PATH后门检测
- ld.so.preload后门检测 /etc/ld.so.preload
- PROMPT_COMMAND后门检测
- cron后门检测 /etc/cron*
- alias后门
- ssh后门 ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;
- SSH Server wrapper 后门,替换/user/sbin/sshd 为脚本文件 strings /usr/sbin/sshd ;ls -al /usr/sbin/sshd
- /etc/inetd.conf 后门
- /etc/xinetd.conf/后门
- setuid类后门
- /etc/fstab类后门
- 系统启动项后门检测
日志分析
1.web日志排查信息统计 2.系统服务级登入成功和登入失败信息统计
Rookit 排查
- rkhunter
- chkroot