精灵巫婆 发表于 2015-1-14 20:15:02

带来一篇清查黑客打击经常使用linux下令

如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!1
  能够得出filename正在运转的历程
  #pidoffilename
  2
  能够经由过程文件大概tcpudp协定看到历程
  #fuser-ntcpport
  3
  能够看文件修正工夫,巨细等信息
  #statfilename
  4
  看加载模块
  #lsmod
  5
  看rpc办事开放
  #rpcinfo-p
  6
  看网卡是不是混同形式(promiscuousmod)
  #dmesg|grepeth0
  7
  看下令是不是被变动,象md5sum一样
  #rpm-Vf/bin/ls
  rpm-Vf/bin/ps一般无输入,不然输入SM5....T/bin/su之类提醒
  假如rpm的数据库被修正则不成靠了,只能经由过程收集或则cdrom中的rpm数据库来对照
  如:rpm-Vvpftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm
  以下经常使用下令必要反省
  /usr/bin/chfn
  usr/bin/chsh
  /bin/login
  /bin/ls
  /usr/bin/passwd
  /bin/ps
  /usr/bin/top
  /usr/sbin/in.rshd
  /bin/netstat
  /sbin/ifconfig
  /usr/sbin/syslogd
  /usr/sbin/inetd
  /usr/sbin/tcpd
  /usr/bin/killall
  /sbin/pidof
  /usr/bin/find
  8
  假如反省的是已确认被黑客打击的呆板,完善倡议:
  1.dd一个备份硬盘上
  2.mount一个光驱,下面有静态编译好的步伐lspsnetstat等经常使用工具
  3.用nc把实行步调输入到近程呆板上
  9
  用md5sum保留一个全局的文件
  find/sbin-typef|xargsmd5sum>1st
  反省是不是改动
  md5sum-c1st|grepOK
  10
  制止在已打击的呆板上过量写操纵,能够:
  1.在另外一个呆板192.168.20.191上运转
  nc-L-p1234>some_audit_output.log注重L是年夜写,能够永世侦听
  2.被打击呆板上运转
  command|nc192.168.20.1911234
  或
  script>/mnt/export.log
  检测终了后用ctrl+d保留纪录
  11
  经由过程历程查找可疑步伐***:
  1.netstat-anp这步次要靠履历,把可疑的都纪录上去
  2.进进内存目次cd/proc/3299
  3.ls-la,一样平常exe能够看到实行文件路径,
  4.再进进fd目次检察文件句柄,至此一样平常都能够找出实行步伐
  5.ps-awx把方才可疑的历程察看一遍
  12
  假如hacker把日记删除:
  1.查找一切未被删除完全的日记,好比history,sniffer日记
  2./proc/pid/fd目次里提醒已删除的文件
  l-wx------1rootroot64Aug1020:5415->/var/log/httpd/error_log(deleted)
  l-wx------1rootroot64Aug1020:5418->/var/log/httpd/ssl_engine_log(deleted)
3.用静态编译的lsof|grepdeleted检察哪些被删除
  COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
  gpm1650root1uREG8,25149743/var/run/gpm208raa(deleted)
  4.失掉文件inode号,这里是149743
  5.利用sleuthkit工具来规复,
  df/var得出硬盘地位是sda1
  icat/dev/sda1149743
  6.把规复的文件细心检察,一样平常都能够找到陈迹了
  如许会使剖析编译后的步伐坚苦
  gcc-04-evil.c-oevil
  strip./evil
  1.file检察文件范例,是不是静态编译、是不是strip过
  2.strings显现步伐中的asicc字符串,经由过程字符串再到谷歌上找
  3.strace是跟踪体系挪用(这个还不晓得怎样用)strace-ppid
  4.gdb(更不会用啦)
  13
  有些历程不在历程里显现,但在/proc中有陈迹,可对照找出埋没的历程
  proc是伪文件体系,为/dev/kmem供应一个布局化的接口,便于体系诊断并检察每个正在运转的可实行文件的情况
  #ps-ef|awk{print$2}|sort-n|uniq>1
  #ls/porc|sort-n|uniq>2
  #diff12
  14
  应急工具tct,内里有很多利用工具,包含icat等数据规复
  假如在被打击的呆板取证,能够mount一块硬盘,也能够备份到收集中,***:
  a.在收集呆板运转nc-L-p1234>abc.img
  b.肉鸡运转ddif=/dev/hdb5count20000bs=1024|nc192.168.0.11234-w3
  假如备份过年夜,则能够侦听多个端口,实行多个dd拷贝,然后把文件兼并cat2>>1.img
  15
  ldd能够显现一个可实行步伐所依附的静态库,但直接依附库没法显现出来
  #ldd/bin/ls
  libtermcap.so.2=>/lib/libtermcap.so.2(0x40022000)
  libc.so.6=>/lib/tls/libc.so.6(0x42000000)
  /lib/ld-linux.so.2=>/lib/ld-linux.so.2(0x40000000)
  strace工具是一个调试工具,它能够显现出一个步伐在实行过程当中的一切体系挪用,
  #strace-eopen/bin/ls>/dev/null
  open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
  open("/etc/ld.so.cache",O_RDONLY)=3
  open("/lib/libtermcap.so.2",O_RDONLY)=3
  open("/lib/tls/libc.so.6",O_RDONLY)=3
  open("/usr/lib/locale/locale-archive",O_RDONLY|O_LARGEFILE)=3
  open(".",O_RDONLY|O_NONBLOCK|O_LARGEFILE|O_DIRECTORY)=3
  open("/etc/mtab",O_RDONLY)=3
  open("/proc/meminfo",O_RDONLY)=3
  strace-oouttelnet192.168.100.100
  o参数的寄义是将strace的输入信息天生到out文件中,这个文件名是能够随便制订的。
  我们翻开out文件会发明大批的体系挪用信息,我们体贴的次要是open这个体系挪用的信息,open是用来翻开文件的,不但挪用静态库要先用open翻开,读取设置文件也利用open,以是用sed写一个复杂的剧本就能够输入out文件中一切的open信息
  sed-n-e‘/^open/p’out
  输入信息以下:
  open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
  open("/etc/ld.so.cache",O_RDONLY)=3
  open("/lib/libutil.so.1",O_RDONLY)=3
  open("/usr/lib/libncurses.so.5",O_RDONLY)=3
  open("/lib/i686/libc.so.6",O_RDONLY)=3
  open("/etc/resolv.conf",O_RDONLY)=3
  open("/etc/nsswitch.conf",O_RDONLY)=3
  open("/etc/ld.so.cache",O_RDONLY)=3
  open("/lib/libnss_files.so.2",O_RDONLY)=3
  open("/etc/services",O_RDONLY)=3
  open("/etc/host.conf",O_RDONLY)=3
  open("/etc/hosts",O_RDONLY)=3
  open("/etc/ld.so.cache",O_RDONLY)=3
  open("/lib/libnss_nisplus.so.2",O_RDONLY)=3
  open("/lib/libnsl.so.1",O_RDONLY)=3
  open("/var/nis/NIS_COLD_START",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
  open("/etc/ld.so.cache",O_RDONLY)=3
  open("/lib/libnss_dns.so.2",O_RDONLY)=3
  open("/lib/libresolv.so.2",O_RDONLY)=3
  open("/etc/services",O_RDONLY)=3
  open("/root/.telnetrc",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
  open("/usr/share/terminfo/l/linux",O_RDONLY)=4
  从输入中能够发明ldd显现不出来的几个库
  /lib/libnss_dns.so.2,
  /lib/libresolv.so.2,
  /lib/libnsl.so.1,
  /lib/libnss_nisplus.so.2,
  /lib/libnss_files.so.2
  strace-oaa-ff-pPID会发生aa称号开首的多个文件
  grepopenaa*|grep-v-eNo-enull-edenied|grepWR检察其翻开挪用的文件信息。
  16
  要把日记发送到日记主机步调:
  a.vi/etc/syslog.conf*.*@192.168.20.163把一切日记发送到192.168.20.163
  b.servicesyslogrestart
  c.在192.168.20.163装置kiwisyslogd
  d.近程上岸,存心输出毛病暗码,可看到日记主机下马上有报警,也能够tcpdumpport514察看
  17
  假如晓得黑客是0927进侵的,则:
  touch-t09270000/tmp/a
  find/(-newer/tmp/a-o-cnewer/tmp/a)-l
  如许那天改动和创立的文件被列出
  18
  整盘复制
  ddif=/dev/sdaof=/dev/sdbbs=1024
  分区复制测试过
  ddif=/dev/sda1of=/abcbs=1024这里是保留在了根分区,用mount检察是sda2
  启动另外一个linux
  输出:mount/dev/sda2/mnt
  这里能够看到方才的abc文件,输出:mountaa/tmp-oloop
  这里看到就是方才镜像的文件内容
  19find
  查找指定字符的文件(测试发明二进制也能够发明,是strings后的内容)
  find/tmp-typef-execgrep"noexist"{};-print
  find/etc/rc.d-name*crond-execfile{};
  查找/etc/rc.d目次上面一切以crond停止的文件,并利用file指令检察其属性,注重:exec和file间是一个空格,file和{}间是一个空格,file和;之间是一个空格,;是一个全体。
  20
  kill-SIGSEGV历程号会发生一个core文件,用strings能够看信息,用一个c步伐能够从头构建它的可实行步伐,study/unix/下保留一个文章。测试没发生core,缘故原由
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!

小魔女 发表于 2015-1-15 10:38:48

带来一篇清查黑客打击经常使用linux下令

蒙太奇手法,高

爱飞 发表于 2015-1-25 18:56:29

通过一条缓慢的调制解调器线路,它也能操纵几千公里以外的远程系统。

只想知道 发表于 2015-2-4 01:42:28

其实老师让写心得我也没怎么找资料应付,自己想到什么就写些什么,所以不免有些凌乱;很少提到编程,因为那些在实验报告里已经说了,这里再写就多余了。

不帅 发表于 2015-2-9 13:25:27

尽我能力帮助他人,在帮助他人的同时你会深刻巩固知识。

灵魂腐蚀 发表于 2015-2-27 15:01:00

任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。

深爱那片海 发表于 2015-3-9 15:22:09

最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。

小魔女 发表于 2015-3-17 03:10:27

一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了,因为有的头文件在VC里面说找不到。?

再现理想 发表于 2015-3-23 22:06:19

其中不乏很多IT精英的心血。我们学透以后更可以做成自己的OS!?
页: [1]
查看完整版本: 带来一篇清查黑客打击经常使用linux下令