带来一篇清查黑客打击经常使用linux下令

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！1
　　能够得出filename正在运转的历程
　　#pidoffilename
　　2
　　能够经由过程文件大概tcpudp协定看到历程
　　#fuser-ntcpport
　　3
　　能够看文件修正工夫，巨细等信息
　　#statfilename
　　4
　　看加载模块
　　#lsmod
　　5
　　看rpc办事开放
　　#rpcinfo-p
　　6
　　看网卡是不是混同形式(promiscuousmod)
　　#dmesg|grepeth0
　　7
　　看下令是不是被变动，象md5sum一样
　　#rpm-Vf/bin/ls
　　rpm-Vf/bin/ps一般无输入，不然输入SM5....T/bin/su之类提醒
　　假如rpm的数据库被修正则不成靠了，只能经由过程收集或则cdrom中的rpm数据库来对照
　　如：rpm-Vvpftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm
　　以下经常使用下令必要反省
　　/usr/bin/chfn
　　usr/bin/chsh
　　/bin/login
　　/bin/ls
　　/usr/bin/passwd
　　/bin/ps
　　/usr/bin/top
　　/usr/sbin/in.rshd
　　/bin/netstat
　　/sbin/ifconfig
　　/usr/sbin/syslogd
　　/usr/sbin/inetd
　　/usr/sbin/tcpd
　　/usr/bin/killall
　　/sbin/pidof
　　/usr/bin/find
　　8
　　假如反省的是已确认被黑客打击的呆板，完善倡议：
　　1.dd一个备份硬盘上
　　2.mount一个光驱，下面有静态编译好的步伐lspsnetstat等经常使用工具
　　3.用nc把实行步调输入到近程呆板上
　　9
　　用md5sum保留一个全局的文件
　　find/sbin-typef|xargsmd5sum>1st
　　反省是不是改动
　　md5sum-c1st|grepOK
　　10
　　制止在已打击的呆板上过量写操纵，能够：
　　1.在另外一个呆板192.168.20.191上运转
　　nc-L-p1234>some_audit_output.log注重L是年夜写，能够永世侦听
　　2.被打击呆板上运转
　　command|nc192.168.20.1911234
　　或
　　script>/mnt/export.log
　　检测终了后用ctrl+d保留纪录
　　11
　　经由过程历程查找可疑步伐***：
　　1.netstat-anp这步次要靠履历，把可疑的都纪录上去
　　2.进进内存目次cd/proc/3299
　　3.ls-la，一样平常exe能够看到实行文件路径，
　　4.再进进fd目次检察文件句柄，至此一样平常都能够找出实行步伐
　　5.ps-awx把方才可疑的历程察看一遍
　　12
　　假如hacker把日记删除：
　　1.查找一切未被删除完全的日记，好比history，sniffer日记
　　2./proc/pid/fd目次里提醒已删除的文件
　　l-wx------1rootroot64Aug1020:5415->/var/log/httpd/error_log(deleted)
　　l-wx------1rootroot64Aug1020:5418->/var/log/httpd/ssl_engine_log(deleted)
3.用静态编译的lsof|grepdeleted检察哪些被删除
　　COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
　　gpm1650root1uREG8,25149743/var/run/gpm208raa(deleted)
　　4.失掉文件inode号，这里是149743
　　5.利用sleuthkit工具来规复，
　　df/var得出硬盘地位是sda1
　　icat/dev/sda1149743
　　6.把规复的文件细心检察，一样平常都能够找到陈迹了
　　如许会使剖析编译后的步伐坚苦
　　gcc-04-evil.c-oevil
　　strip./evil
　　1.file检察文件范例，是不是静态编译、是不是strip过
　　2.strings显现步伐中的asicc字符串,经由过程字符串再到谷歌上找
　　3.strace是跟踪体系挪用（这个还不晓得怎样用）strace-ppid
　　4.gdb（更不会用啦）
　　13
　　有些历程不在历程里显现，但在/proc中有陈迹，可对照找出埋没的历程
　　proc是伪文件体系，为/dev/kmem供应一个布局化的接口，便于体系诊断并检察每个正在运转的可实行文件的情况
　　#ps-ef|awk{print$2}|sort-n|uniq>1
　　#ls/porc|sort-n|uniq>2
　　#diff12
　　14
　　应急工具tct，内里有很多利用工具，包含icat等数据规复
　　假如在被打击的呆板取证，能够mount一块硬盘，也能够备份到收集中，***：
　　a.在收集呆板运转nc-L-p1234>abc.img
　　b.肉鸡运转ddif=/dev/hdb5count20000bs=1024|nc192.168.0.11234-w3
　　假如备份过年夜，则能够侦听多个端口，实行多个dd拷贝，然后把文件兼并cat2>>1.img
　　15
　　ldd能够显现一个可实行步伐所依附的静态库,但直接依附库没法显现出来
　　[root@rh9bkroot]#ldd/bin/ls
　　libtermcap.so.2=>/lib/libtermcap.so.2(0x40022000)
　　libc.so.6=>/lib/tls/libc.so.6(0x42000000)
　　/lib/ld-linux.so.2=>/lib/ld-linux.so.2(0x40000000)
　　strace工具是一个调试工具，它能够显现出一个步伐在实行过程当中的一切体系挪用，
　　[root@rh9bkroot]#strace-eopen/bin/ls>/dev/null
　　open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
　　open("/etc/ld.so.cache",O_RDONLY)=3
　　open("/lib/libtermcap.so.2",O_RDONLY)=3
　　open("/lib/tls/libc.so.6",O_RDONLY)=3
　　open("/usr/lib/locale/locale-archive",O_RDONLY|O_LARGEFILE)=3
　　open(".",O_RDONLY|O_NONBLOCK|O_LARGEFILE|O_DIRECTORY)=3
　　open("/etc/mtab",O_RDONLY)=3
　　open("/proc/meminfo",O_RDONLY)=3
　　strace-oouttelnet192.168.100.100
　　o参数的寄义是将strace的输入信息天生到out文件中，这个文件名是能够随便制订的。
　　我们翻开out文件会发明大批的体系挪用信息，我们体贴的次要是open这个体系挪用的信息，open是用来翻开文件的，不但挪用静态库要先用open翻开，读取设置文件也利用open，以是用sed写一个复杂的剧本就能够输入out文件中一切的open信息
　　sed-n-e‘/^open/p’out
　　输入信息以下：
　　open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
　　open("/etc/ld.so.cache",O_RDONLY)=3
　　open("/lib/libutil.so.1",O_RDONLY)=3
　　open("/usr/lib/libncurses.so.5",O_RDONLY)=3
　　open("/lib/i686/libc.so.6",O_RDONLY)=3
　　open("/etc/resolv.conf",O_RDONLY)=3
　　open("/etc/nsswitch.conf",O_RDONLY)=3
　　open("/etc/ld.so.cache",O_RDONLY)=3
　　open("/lib/libnss_files.so.2",O_RDONLY)=3
　　open("/etc/services",O_RDONLY)=3
　　open("/etc/host.conf",O_RDONLY)=3
　　open("/etc/hosts",O_RDONLY)=3
　　open("/etc/ld.so.cache",O_RDONLY)=3
　　open("/lib/libnss_nisplus.so.2",O_RDONLY)=3
　　open("/lib/libnsl.so.1",O_RDONLY)=3
　　open("/var/nis/NIS_COLD_START",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
　　open("/etc/ld.so.cache",O_RDONLY)=3
　　open("/lib/libnss_dns.so.2",O_RDONLY)=3
　　open("/lib/libresolv.so.2",O_RDONLY)=3
　　open("/etc/services",O_RDONLY)=3
　　open("/root/.telnetrc",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
　　open("/usr/share/terminfo/l/linux",O_RDONLY)=4
　　从输入中能够发明ldd显现不出来的几个库
　　/lib/libnss_dns.so.2，
　　/lib/libresolv.so.2，
　　/lib/libnsl.so.1，
　　/lib/libnss_nisplus.so.2，
　　/lib/libnss_files.so.2
　　strace-oaa-ff-pPID会发生aa称号开首的多个文件
　　grepopenaa*|grep-v-eNo-enull-edenied|grepWR检察其翻开挪用的文件信息。
　　16
　　要把日记发送到日记主机步调:
　　a.vi/etc/syslog.conf*.*@192.168.20.163把一切日记发送到192.168.20.163
　　b.servicesyslogrestart
　　c.在192.168.20.163装置kiwisyslogd
　　d.近程上岸,存心输出毛病暗码,可看到日记主机下马上有报警,也能够tcpdumpport514察看
　　17
　　假如晓得黑客是0927进侵的，则：
　　touch-t09270000/tmp/a
　　find/(-newer/tmp/a-o-cnewer/tmp/a)-l
　　如许那天改动和创立的文件被列出
　　18
　　整盘复制
　　ddif=/dev/sdaof=/dev/sdbbs=1024
　　分区复制测试过
　　ddif=/dev/sda1of=/abcbs=1024这里是保留在了根分区，用mount检察是sda2
　　启动另外一个linux
　　输出：mount/dev/sda2/mnt
　　这里能够看到方才的abc文件，输出：mountaa/tmp-oloop
　　这里看到就是方才镜像的文件内容
　　19find
　　查找指定字符的文件（测试发明二进制也能够发明，是strings后的内容）
　　find/tmp-typef-execgrep"noexist"{};-print
　　find/etc/rc.d-name*crond-execfile{};
　　查找/etc/rc.d目次上面一切以crond停止的文件，并利用file指令检察其属性，注重：exec和file间是一个空格，file和{}间是一个空格，file和;之间是一个空格，;是一个全体。
　　20
　　kill-SIGSEGV历程号会发生一个core文件，用strings能够看信息，用一个c步伐能够从头构建它的可实行步伐，study/unix/下保留一个文章。测试没发生core，缘故原由
如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的好朋友们！

蒙太奇手法，高

通过一条缓慢的调制解调器线路，它也能操纵几千公里以外的远程系统。

其实老师让写心得我也没怎么找资料应付，自己想到什么就写些什么，所以不免有些凌乱；很少提到编程，因为那些在实验报告里已经说了，这里再写就多余了。

尽我能力帮助他人，在帮助他人的同时你会深刻巩固知识。

任何一个叫做操作系统的东西都是这样子构成的：内核+用户界面+一般应用程序。

最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。

一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了，因为有的头文件在VC里面说找不到。?

其中不乏很多IT精英的心血。我们学透以后更可以做成自己的OS！?