一旦被rootkit感染 你可能任何一个命令返回的信息都是假的
1、查看目前登录系统可疑用户
1.1、#who 或 w 查看可疑的用户、登录的时间、源IP
1.2、#passwd -l NAME 锁定账号其不能再通过账号密码登录
1.3、#ps -ef| grep @pts/3 查看可疑用户登录所使用的PID
1.4、#kill -9 PID 杀其进程、强行踢下线
2、切断网络
2.1、如果在终端机旁边。可直接停止网络服务。#systemctl stop network
2.2、如果为远程服务器。可关闭其外网功能,使用其他机器从内网登录排除问题。
2.3、more /var/log/secure | grep Accepted 查看可疑的登录信息
3、查找攻击源
lastlog 显示每一个用户最近一次的成功登陆信息(排除是否有可疑账号近期登录过)
-u usernema 显示特定用户最近的登陆信息。
last 显示/vat/log/wtmp文件,显示用户登陆历史及系统重启历史
-n #: 显示最近#次的相关信息
#last |grep NAME 如近期无可疑账号登录,可特别查看root的登录时间点及源IP
lastb /var/log/btmp文件,显示用户错误的登陆尝试
tail /var/log/secure 查看包含验证和授权方面信息。如:sshd会将所有信息记录。
history 查看近期操作过的命令(数量与history | wc -l 进行对比),查看是否有删除过
查看账号信息文件是否被改动过。 如修改时间、文件完整性
/etc/passwd
/etc/shadow
top
查找CPU、或内存使用较异常的程序。获取其PID号
使用# /usr/bin/ls -la /proc/PID/exe 查看其启动的文件路径
4、分析入侵原因的途径
查看该系统环境中对外开放的点。 如分析apacha 或Nginx的访问日志。 查看是否有透过文件漏洞直接访问服务器的信息。
5、备份用户数据
6、重新安装系统
7、修复程序或系统漏洞
8、恢复数据和连接网络
参考书籍:高性能Linux服务器构建实战
网友评论