MENU

一次服务器入侵检查

December 24, 2018 • Read: 1943 • 安全检查阅读设置

阿里云检查到服务器有漏洞,需要充值企业版安骑士可以查看详情,点开瞅了一眼,一台3000,果断放弃,手动撸吧~
先查日志,网站都是内部站,几乎没有访问量,日志分析工具撸一遍
检查日志
233.png
由图可以看到,网站21号被百度爬取2百多次,site了一下试试,百度并没有收录,
QQ截图20181224174815.png
网站渗透过程中无的几种操作无非就是POST渗透,GET渗透,恶意HEAD请求,Cookie渗透这几种


检查帐户

awk -F: '$3==0 {print $1}' /etc/passwd
#查看是否存在特权用户
awk -F: 'length($2)==0 {print $1}' /etc/shadow
#查看是否存在空口令帐户
awk -F: '{system("passwd -S "$1)}' /etc/passwd|awk '{print $1,$3}'
#查看账户创建日期

检查启动项

cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d
find / -type f -perm 4000

瞅一眼登陆日志

who /var/log/wtmp

没问题

其他流程参考

服务器入侵排除命令

在服务器上做完坏事没有擦除痕迹,所以经常检查登录日志,也是一种安全手段

more /var/log/secure
who /var/log/wtmp

另外我们也能简单的看一下这个账号登录干了些什么?
root账户下输入su - username
切换到username下输入

history

能看到这个用户历史命令,默认最近的1000条

兼总条贯 知至知终

无标签
最后编辑于: December 27, 2018