服务器被入侵了怎么办 rkhunter的简单安装及检测后门
2013-10-28 11:17
288 查看
被入侵了,查看了下/var/log/messages和last都已经清理。
sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址 ---》邮件来报警
一、接着查看 host.allow 里面设置,禁止某个可疑ip的访问
二、用rkhunter扫下,是否存在rootkit恶意程序。http://linux.vbird.org/linux_security/0420rkhunter.php鸟哥讲的rkhunterrkhunter的安装:
1.下载地址:http://www.rootkit.nl/projects/rootkit_hunter.html
2.配置安装
To perform a default installation of RKH simply unpack the tarball and,
as root, run the installation script:
tar zxf rkhunter-<version>.tar.gz
cd rkhunter-<version>
./installer.sh --install
Note: If some form of file permission error is shown, then check that the
'installer.sh' script is executable.
3.简单安装后,就可以进行检测后门
rkhunter --help 查看选项
--checkall (-c) :全系統檢測,rkhunter 的所有檢測項目
rkhunter --check
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
在第一部份的檢測當中,主要的工作就是在檢驗一些系統重要的 binary files,# 這些檔案就是常被 root kit 程式包攻擊的範圍!所以首先就得要檢測他們啊!# 接下來進行第二部分的檢測!
第二部分就是在檢測常見的 rootkit 程式包所造成的系統傷害!# 這部分的檢測當然就是針對各個常見的 rootkit 攻擊的檔案/目錄來偵測囉!# 接下來是第三部分的檢測!
这是最后检测的汇总信息
三、检测后,如果哪个服务被设置了后门,则要将其卸载并删除相关文件及文件夹,然后重新安装。
四、接着查看bashrc 文件有没有异常情况。
五、查看网络连接有没有异常
六、查看重要目录(比如/etc)下有没有新创建的文件及目录
find /etc -cmin -10
七、防止攻击被反弹
首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!
看看你网站是以apache 还是noboday权限运行。 设置setfacl !比如是apache。那么我们就setfack –m u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是php的反弹脚本我还真没遇见过,有遇见的求给!!
其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!
由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl
至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事!
sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址 ---》邮件来报警
一、接着查看 host.allow 里面设置,禁止某个可疑ip的访问
二、用rkhunter扫下,是否存在rootkit恶意程序。http://linux.vbird.org/linux_security/0420rkhunter.php鸟哥讲的rkhunterrkhunter的安装:
1.下载地址:http://www.rootkit.nl/projects/rootkit_hunter.html
2.配置安装
To perform a default installation of RKH simply unpack the tarball and,
as root, run the installation script:
tar zxf rkhunter-<version>.tar.gz
cd rkhunter-<version>
./installer.sh --install
Note: If some form of file permission error is shown, then check that the
'installer.sh' script is executable.
3.简单安装后,就可以进行检测后门
rkhunter --help 查看选项
--checkall (-c) :全系統檢測,rkhunter 的所有檢測項目
rkhunter --check
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
在第一部份的檢測當中,主要的工作就是在檢驗一些系統重要的 binary files,# 這些檔案就是常被 root kit 程式包攻擊的範圍!所以首先就得要檢測他們啊!# 接下來進行第二部分的檢測!
第二部分就是在檢測常見的 rootkit 程式包所造成的系統傷害!# 這部分的檢測當然就是針對各個常見的 rootkit 攻擊的檔案/目錄來偵測囉!# 接下來是第三部分的檢測!
这是最后检测的汇总信息
三、检测后,如果哪个服务被设置了后门,则要将其卸载并删除相关文件及文件夹,然后重新安装。
四、接着查看bashrc 文件有没有异常情况。
五、查看网络连接有没有异常
六、查看重要目录(比如/etc)下有没有新创建的文件及目录
find /etc -cmin -10
七、防止攻击被反弹
首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!
看看你网站是以apache 还是noboday权限运行。 设置setfacl !比如是apache。那么我们就setfack –m u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是php的反弹脚本我还真没遇见过,有遇见的求给!!
其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!
由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl
至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事!
相关文章推荐
- linux下snort安装和简单ping入侵检测实例
- 简单介绍redis以及ubuntu和windows下怎么安装redis和配置文件详解
- 升级win10失败微软兼容性检测未通过该怎么办? 安装KB2952664即可搞定
- rootkit后门检测工具rootkit和RKHunter
- yum的安装的使用搭建简单的apache服务器
- Linux下FTP服务器的安装和简单配置
- 怎样使用 Tripwire 来检测 Ubuntu VPS 服务器的入侵
- JavaFX离线部署和运行,客户端浏览器可以自动检测并下载安装指定服务器的JRE
- Linux下简单的入侵检测
- 易企yiqicms提示安装成功,登陆后台提示500服务器错误怎么办
- Nginx服务器 安装 与平滑升级详细介绍 简单使用1
- nginx服务器安装并简单实现负载均衡
- 换句话说 SEO优化、HTML、PhotoShop、CSS层叠样式表、ASP、JavaScript、PHP、网络安全,入侵检测,服务器安全设置搞定这些都不在话下
- Java Web中的入侵检测及简单实现
- Solaris服务器配置高级入侵检测工具AIDE
- 最简单!阿里云服务器采用 LNMP一键安装包 配置 Linux+Nginx+Mysql+PHP
- Ubuntu文件服务器简单配置--samba的安装和配置
- LIDS入侵检测和防御系统安装与研究
- 服务器被入侵后的故障检测思路