作者：Zzang
來源：cnblogs
原文：https://www.cnblogs.com/Zzang/p/LinuxHack.html
版權聲明：本文為博主原創文章，轉載請附上博文鏈接！

基本網路拓撲圖

1. 準備階段。配置雲主機，模擬簡單的ssh登錄爆破入侵行為

• 步驟一：登錄阿裡雲管理控制台。打開雲主機。
• 步驟二：打開VMware，將kali虛擬機的網卡模式設置為NAT，打開kali。打開終端，測試ping雲主機，需成功ping通，如下圖所示
  
• 步驟三：通過SSH訪問雲主機，通過root賬戶登錄雲主機，前兩次輸入錯誤的密碼，第三次輸入正確的密碼，併成功訪問，如下圖所示
  
• 步驟四：創建新用戶hack，如下圖所示
  
• 步驟五：為新用戶設置密碼“123456”，如下圖所示
  
• 步驟六：再次打開一個終端，使用hack用戶連接雲主機，並輸入錯誤的密碼，如下圖所示
  

自行配置hack賬戶的其他重要許可權，或添加其他的賬戶，如空密碼賬戶等等。並嘗試遠程登錄使用。

2. Linux雲主機ECS應急響應排查

1）賬號安全

• 步驟一：查看賬號，嘗試找出異常賬號，並分析賬號的許可權，並記錄在實操報告中，如下圖所示
  
• 步驟二：查看影子文件，並分析賬號密碼的設置情況，並記錄在實操報告中，如下圖所示
  
• 步驟三：使用下列命令，進一步分析賬號信息，並記錄在實操報告中，
• who 查看當前登錄用戶（tty本地登陸 pts遠程登錄）
• w 查看系統信息，想知道某一時刻用戶的行為
• uptime 查看登陸多久、多少用戶，負載who 查看當前登錄用戶（tty本地登陸 pts遠程登錄）
• w 查看系統信息，想知道某一時刻用戶的行為
• uptime 查看登陸多久、多少用戶，負載
  

2）入侵排查：

• 步驟一：查詢特權用戶（特權用戶，uid為0）
  [root@hostserver ~]# awk -F: '$3==0{print $1}' /etc/passwd
  
• 步驟二：查詢可以遠程登錄的帳號信息
  [root@hostserver ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
• 步驟三：除root帳號外，其他帳號是否存在sudo許可權。如非管理需要，普通帳號應刪除sudo許可權
  [root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
• 步驟四：禁用或刪除多餘及可疑的帳號
• • useradd user 創建帳號
  • usermod -L user 禁用帳號，帳號無法登錄，/etc/shadow第二欄為!開頭
  • userdel user 刪除user用戶

  • userdel -r user 將刪除user用戶，並且將/home目錄下的user目錄一併刪除

    3）歷史命令查詢

• 步驟一： 輸入命令 history，查看

• 步驟二：查找文件 .bash_history所在目錄，進入用戶目錄下，
  輸入命令：cat .bash_history >> history.txt， 查看文件history.txt.
  或：tailf -200 /home/[指定username]/.bash_history

  4）查看埠信息

• 步驟一：使用命令netstat –antlp | more ，如下圖所示
  

5）查看進程信息和cpu等利用信息

• 步驟一：使用ps命令，並查看參考文獻，使用ps命令的常用查看命令組合，並將結果記錄在實操報告中。
  
• 步驟二：使用top命令，並查看參考文獻，使用top命令的常用查看命令組合，並將結果記錄在實操報告中。
  

6）查看開機啟動項、定時任務、服務

• 步驟：查看參考文獻，完成上述排查，並將結果記錄在實操報告中。

7）查看系統日誌

• 步驟一：
• 日誌預設存放位置：/var/log/
  
• 查看日誌配置情況：more /etc/rsyslog.conf
  
• 步驟二：定位有多少IP在爆破主機的root帳號

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

• 步驟三：定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o  "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

• 步驟四：爆破用戶名字典是什麼？

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

• 步驟五：2、登錄成功的IP有哪些：
  

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

• 登錄成功的日期、用戶名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

• 步驟六：查看增加用戶的日誌信息

grep "useradd" /var/log/secure

3. 使用工具協助排查入侵

• 步驟一：安裝Rootkit查殺工具。

./chkrootkit使用方法：
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52 （先查看安裝的目錄）
make sense
#編譯完成沒有報錯的話執行檢查
./chkrootkit

4，病毒查殺

• 使用工具Clamav
  ClamAV的官方下載地址為：http://www.clamav.net/download.html

作者：Zzang
來源：cnblogs
原文：https://www.cnblogs.com/Zzang/p/LinuxHack.html
版權聲明：本文為博主原創文章，轉載請附上博文鏈接！