Linux安全筆記

2022-08-28 14:57:19 字數 3298 閱讀 8022

一、上傳木馬的過程

1、預設埠22弱口令暴力破解;

2、21埠或者3306埠弱口令暴力破解;

3、webshell進行shell**提權;

4、木馬傳入伺服器的上面並且執行,通過木馬的方式來控制你的伺服器進行非法的操作。

二、常見操作

1、切入/tmp;

3、木馬載入許可權;

4、執行木馬;

5、後門,支援木馬復活。

三、清除木馬

1、網路連線,過濾掉正常連線;

# netstat -nalp | grep "tcp" | grep -v "22" | grep "established"

2、判斷一些異常連線,通過pid找到程序名稱;

# ps -ef | grep "27368"

3、通過名字,找到原檔案,刪除掉原檔案。

四、清除後門

1、檢查/etc/rc.local;

2、檢查計畫任務crontab -l;

3、檢查/root/.bashrc和普通使用者下的.bashrc;

4、檢查/etc/profile檔案定期進行md5校驗。

五、安全加固

1、了解常見的掃瞄和提權埠

-22 埠暴力破解

-21埠提權

-3306 埠提權

-webshell **

2、如何對linux進行安全加固

2.1程序數量監控及對比

2.1.1、程序數量

2.1.2、程序異常的名稱及pid號

2.1.3、根據pid號進行查詢網路連線異常

寫乙個指令碼:

將伺服器正常的程序號,匯入到乙個目錄,取個名字叫做原始.log,提取實時程序名稱》實時.log,通過diff去對比原始和實時的log區別,一旦發現對比不一樣,通過名稱得到pid號,然後通過pid查詢網路連線和監聽的埠號及ip位址。將這些資訊傳送告警到管理員的手機或者郵箱郵件裡面,讓管理員進行判斷和分析。

2.2、計畫任務列表監控

2.2.1、檢視計畫任務

2.2.2、監控/var/log/cron日誌

2.3、使用者登入監控

2.3.1、什麼使用者登入的?在什麼時候登入的?

2.3.2、使用者登入ip是否合法?

2.3.3、使用者登入的使用者名稱是否合法?

2.3.4、使用者登入時間是否合法?

2.4、/etc/passwd、/etc/shadow  md5

2.4.1、md5校驗防止有人更改passwd和shadow檔案

2.4.2、passwd檔案可以進行加鎖chattr許可權

2.4.3、passwd定期進行備份,進行內容diff對比

2.5、非有效使用者登入shell許可權

2.5.1、除了運維常用的維護賬號以外,其他賬戶不能擁有登入系統的shell

2.5.2、針對/etc/passwd檔案統計bash結尾的有多少個?將不用的改成/sbin/nologin

2.5.3、將不必要的賬戶刪除或者鎖定

2.6、安全日誌分析與監控/var/log/secure

2.6.1、定期或者實時分析/var/log/secure檔案,是否有暴力破解和試探

2.6.2、過濾accepted關鍵字,分析對應的ip是否為運維常用ip及埠號和協議。否則視為已經被入侵。

2.6.3、定期備份/var/log/secure防止此人入侵後,更改和刪除入侵目錄

2.7、/etc/sudoers監控

2.7.1、防止對方通過webshell**的方式,增加普通使用者到/etc/sudoers

2.7.2、定期備份/etc/sudoers和監控,發現特殊的使用者寫入此檔案,視為已被入侵。

2.7.3此配置檔案,普通使用者可繞過root密碼直接sudo到root許可權

2.8、網路連線數的異常

2.8.1、經常統計tcp連線,排除正常的連線以外,分析額外的tcp長連線,找出非正常的連線程序

2.8.2、發現異常程序後,通過程序名使用top的方式,或者find命令搜尋木馬所在的位置

2.8.3、找到連線所監聽的埠號以及ip,將此ip拉入黑名單,kill掉程序,刪除木馬原始檔

2.8.4、監控連線監聽,防止木馬復活

2.9、/etc/profile定期巡檢

2.9.1、檢查/etc/profile檔案防止木馬檔案路徑寫入環境變數,防止木馬復活

2.9.2、防止/etc/profile呼叫其他的命令或者指令碼進行後門連線

2.9.3、此檔案進行md5校驗,定期備份與diff如發現異常則視為被入侵

2.10、/root/.bashrc定期巡檢

2.10.1、檢查/root/.bashrc檔案,防止隨著root使用者登入,執行使用者變數,導致木馬復活

2.10.2、防止/root/.bashrc通過此檔案進行後門建立與連線

2.10.3、此檔案進行md5校驗,定期備份與diff,如發現異常,則視為入侵

2.11、常用埠號加固及弱口令

2.11.1、修改22預設埠號

2.11.2、修改root密碼為複雜口令或禁止root使用者登入,使用key方式登入

2.11.3、ftp要固定chroot目錄,只能在當前目錄,不隨意切換目錄

2.11.4、mysql注意修改3306預設埠號,授權的時候不允許使用%號進行授權。

2.11.5、mysql使用者及ip授權請嚴格進行授權,除了dba,其他開發人員不應該知道jdbc檔案對應的使用者名稱和密碼

2.12、/tmp目錄的監控

2.12.1、由於/tmp目錄的特殊性,很多上傳木馬的第一目標就是/tmp

2.12.2、/tmp進行檔案和目錄監控,發現變動及時警告

2.13、web層面的防護

所有web層的安全成為首要,要定期進行web程式漏洞掃瞄,發現之後及時通知開人員修補,對於金融行業的有必要邀請第三方定期進行滲透測試。

六、常見的安全**

烏雲漏洞:

盒子漏洞:

國家資訊保安漏洞平台:

freebuf:

stackoverflow:

cve漏洞:

360blog:

osr:

漏洞庫:

codeproject:

七、運維安全審計

1、環境安全

2、物理鏈路的安全

3、網路安全

4、前端程式的安全

5、系統的安全

6、資料的安全

7、內部人員的安全

Linux安全攻防筆記

一 上傳木馬的過程 1 預設埠22弱口令暴力破解 2 21埠或者3306埠弱口令暴力破解 3 webshell進行shell 提權 4 木馬傳入伺服器的上面並且執行,通過木馬的方式來控制你的伺服器進行非法的操作。二 常見操作 1 切入 tmp 3 木馬載入許可權 4 執行木馬 5 後門,支援木馬復活...

linux系統安全基礎筆記之一

系統和使用者管理基礎 一 使用者安全 etc securetty 檔案 列出了root登陸時使用的tty裝置。應該僅包括本地控制台。示例檔案 已經修改過了 etc securetty list of terminals on which root is allowed to login.see se...

安全編碼筆記

security cookie,防止棧溢位,在棧上堆上放了security cookie,函式退出是會判斷是否溢位,yognida時候可以看見。還有就是變數重新排列。突破方式 未被保護的記憶體繞過 未大於4位元組的快取預設不開gs 覆蓋虛函式突破,seh攻擊突破,替換cookie突破。作業系統編譯器...