0基础自学linux运维-8.1-服务器入侵溯源小技巧整理（转）

Posted 2023-02-22

参考技术A 最近某司网站主页被篡改了，找师傅帮忙看看怎么回事，师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后，又找师傅问了问关于溯源的技巧经验，于是就有了这篇小结。

看对方的目的是什么，就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。

分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。

可以使用 D 盾查杀是否存在网站后门，如果存在 webshell，记录下该 webshell 的信息。

找到 webshell 后，就可以根据该文件的路径，在日志里查找有关信息，例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间，从而缩小搜索范围，运气好了可以直接根据 IP 找到黑客。

diff 工具推荐-diffmerge

可以根据被修改的文件的修改时间，缩小搜索范围。

可以根据文件的排序迅速找到被黑客修改的文件，从而找到入侵时间。

例：查看 10 分钟内修改过的文件

网站日志一般为

根据上一步分析网站源码得到的信息在对日志文件进行筛选分析，因为日志文件会记录很多信息，如果一条一条分析，不是很现实。

web-log 分析工具

系统日志分析

/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出，但是可以使用一些命令来查看，比如 w/who/finger/id/last/ac/uptime

该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息：

该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户：

如果指明了用户，则该命令只显示该用户的近期活动：

/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令：

4. id 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数：

检查服务器是否有黑客留下的木马程序。

指令：ps aux|grep ‘pid’

整理完这篇总结，感觉溯源是一个很细节的事情，需要注意每一个细节，这篇总结也可以是一个备忘，以后在遇到溯源的活，做的时候就可以更系统一些。第一次投稿写的不好，师傅们多多指教哈，嘻嘻。

自学运维第一篇：Linux虚拟机基础优化

Linux虚拟机基础优化

1.系统环境查看命令

cat /etc/redhat-release 

uname -r

uname -m

说明：系统环境CentOS release 6.5 (Final)  2.6.32-431.el6.x86_64

2.关闭SELinux功能命令

cat /etc/selinux/config

sed -i ‘s#SELINUX=enforcing#SELINUX=disabled#g‘ /etc/selinux/config

setenforce  0 

getenforce

说明：setenforce  0 设置不重启生效，getenforce 查看生效状态。

3.设定运行级别命令

tail /etc/inittab

#   0 - halt (Do NOT set initdefault to this)   关机状态

#   1 - Single user mode  单用户，找不到密码，需要修改密码情况。

#   2 - Multiuser, without NFS (The same as 3, if you do not have networking)

#   3 - Full multiuser mode  命令行模式

#   4 - unused 无用户模式

#   5 - X11  图形界面模式

#   6 - reboot (Do NOT set initdefault to this)  重启

vim /etc/inittab

id:3:initdefault:

说明：修改默认启动级别id:3:initdefault:

4.设置开机自启动服务命令

chkconfig --list|grep "3:on"

FOR循环批量处理：

for name in `chkconfig --list|awk ‘{print $1}‘|grep -Ev "sshd|network|rsyslog|crond|sysstat"`;do chkconfig $name off;done

说明：设置启动自启服务sshd|network|rsyslog|crond|sysstat

5.关闭防火墙命令

/etc/init.d/iptables stop  

/etc/init.d/iptables status  

chkconfig iptables off 

iptables -L -n

说明：chkconfig iptables off 永久关闭防火墙，开机也不启动

6.常用软件包安装命令

yum install lrzsz ntpdate sysstat -y

说明：lrzsz是一个上传下载的软件；sysstat是用来检测系统性能及效率的工具

7.与网络服务器定时时间同步

echo ‘*/5 * * * * /usr/sbin/ntpdate time.windows.com >/dev/null 2 >&1‘ >>/var/spool/cron/root

echo ‘*/10 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1‘ >>/var/spool/cron/root

8.修改YUM源并更新系统

cd /etc/yum.repos.d/

/bin/mv CentOS-Base.repo CentOS-Base.repo.bak

wget http://mirrors.163.com/.help/CentOS6-Base-163.repo

yum clean all

yum makecache

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

yum  upgrade-y    

说明：yum clean all  #清空yum缓存；

yum makecache  #建立yum缓存；

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*       #导入签名KEY到RPM

yum  upgrade  -y     #更新系统内核到最新

--------------------本节完！！！