爱飞 发表于 2015-1-14 20:27:16

给大家带来Linux进侵反省有用指令

如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!1
能够得出filename正在运转的历程
#pidoffilename
2
能够经由过程文件大概tcpudp协定看到历程
#fuser-ntcpport
3
能够看文件修正工夫,巨细等信息
#statfilename
4
看加载模块
#lsmod
5
看rpc办事开放
#rpcinfo-p
6
看网卡是不是混同形式(promiscuousmod)
#dmesg|grepeth0


7
看下令是不是被变动,象md5sum一样
#rpm-Vf/bin/ls
rpm-Vf/bin/ps一般无输入,不然输入SM5....T/bin/su之类提醒
假如rpm的数据库被修正则不成靠了,只能经由过程收集或则cdrom中的rpm数据库来对照
如:rpm-Vvpftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm
以下经常使用下令必要反省
/usr/bin/chfn
usr/bin/chsh
/bin/login
/bin/ls
/usr/bin/passwd
/bin/ps
/usr/bin/top
/usr/sbin/in.rshd
/bin/netstat
/sbin/ifconfig
/usr/sbin/syslogd
/usr/sbin/inetd
/usr/sbin/tcpd
/usr/bin/killall
/sbin/pidof
/usr/bin/find


8
假如反省的是已确认被黑客打击的呆板,完善倡议:
1.dd一个备份硬盘上
2.mount一个光驱,下面有静态编译好的步伐lspsnetstat等经常使用工具
3.用nc把实行步调输入到近程呆板上


9
用md5sum保留一个全局的文件
find/sbin-typef|xargsmd5sum>1st
反省是不是改动
md5sum-c1st|grepOK


10
制止在已打击的呆板上过量写操纵,能够:
1.在另外一个呆板192.168.20.191上运转
nc-L-p1234>some_audit_output.log注重L是年夜写,能够永世侦听
2.被打击呆板上运转
command|nc192.168.20.1911234

script>/mnt/export.log
检测终了后用ctrl+d保留纪录


11
经由过程历程查找可疑步伐***:
1.netstat-anp这步次要靠履历,把可疑的都纪录上去
2.进进内存目次cd/proc/3299
3.ls-la,一样平常exe能够看到实行文件路径,
4.再进进fd目次检察文件句柄,至此一样平常都能够找出实行步伐
5.ps-awx把方才可疑的历程察看一遍


12
假如hacker把日记删除:
1.查找一切未被删除完全的日记,好比history,sniffer日记
2./proc/pid/fd目次里提醒已删除的文件
l-wx------1rootroot64Aug1020:5415->/var/log/httpd/error_log(deleted)
l-wx------1rootroot64Aug1020:5418->/var/log/httpd/ssl_engine_log(deleted)
l-wx------1rootroot64Aug1020:5419->/var/log/httpd/ssl_mutex.800(deleted)
l-wx------1rootroot64Aug1020:5420->/var/log/httpd/access_log(deleted)
l-wx------1rootroot64Aug1020:5421->/var/log/httpd/access_log(deleted)
l-wx------1rootroot64Aug1020:5422->/var/log/httpd/ssl_request_log(deleted)
l-wx------1rootroot64Aug1020:5423->/var/log/httpd/ssl_mutex.800(deleted)
lrwx------1rootroot64Aug1020:543->/var/run/httpd.mm.800.sem(deleted)
lrwx------1rootroot64Aug1020:544->/var/log/httpd/ssl_scache.sem(deleted)


3.用静态编译的lsof|grepdeleted检察哪些被删除
COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
gpm1650root1uREG8,25149743/var/run/gpm208raa(deleted)
4.失掉文件inode号,这里是149743
5.利用sleuthkit工具来规复,
df/var得出硬盘地位是sda1
icat/dev/sda1149743
6.把规复的文件细心检察,一样平常都能够找到陈迹了


如许会使剖析编译后的步伐坚苦
gcc-04-evil.c-oevil
strip./evil


1.file检察文件范例,是不是静态编译、是不是strip过
2.strings显现步伐中的asicc字符串,经由过程字符串再到谷歌上找
3.strace是跟踪体系挪用(这个还不晓得怎样用)strace-ppid
4.gdb(更不会用啦)


13
有些历程不在历程里显现,但在/proc中有陈迹,可对照找出埋没的历程
proc是伪文件体系,为/dev/kmem供应一个布局化的接口,便于体系诊断并检察每个正在运转的可实行文件的情况
#ps-ef|awk{print$2}|sort-n|uniq>1
#ls/porc|sort-n|uniq>2
#diff12


14
应急工具tct,内里有很多利用工具,包含icat等数据规复
假如在被打击的呆板取证,能够mount一块硬盘,也能够备份到收集中,***:
a.在收集呆板运转nc-L-p1234>abc.img
b.肉鸡运转ddif=/dev/hdb5count20000bs=1024|nc192.168.0.11234-w3
假如备份过年夜,则能够侦听多个端口,实行多个dd拷贝,然后把文件兼并cat2>>1.img


15
ldd能够显现一个可实行步伐所依附的静态库,但直接依附库没法显现出来
#ldd/bin/ls
libtermcap.so.2=>/lib/libtermcap.so.2(0x40022000)
libc.so.6=>/lib/tls/libc.so.6(0x42000000)
/lib/ld-linux.so.2=>/lib/ld-linux.so.2(0x40000000)
strace工具是一个调试工具,它能够显现出一个步伐在实行过程当中的一切体系挪用,
#strace-eopen/bin/ls>/dev/null
open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libtermcap.so.2",O_RDONLY)=3
open("/lib/tls/libc.so.6",O_RDONLY)=3
open("/usr/lib/locale/locale-archive",O_RDONLY|O_LARGEFILE)=3
open(".",O_RDONLY|O_NONBLOCK|O_LARGEFILE|O_DIRECTORY)=3
open("/etc/mtab",O_RDONLY)=3
open("/proc/meminfo",O_RDONLY)=3


strace-oouttelnet192.168.100.100
o参数的寄义是将strace的输入信息天生到out文件中,这个文件名是能够随便制订的。
我们翻开out文件会发明大批的体系挪用信息,我们体贴的次要是open这个体系挪用的信息,open是用来翻开文件的,不但挪用静态库要先用open翻开,读取设置文件也利用open,以是用sed写一个复杂的剧本就能够输入out文件中一切的open信息
sed-n-e‘/^open/p’out
输入信息以下:
open("/etc/ld.so.preload",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libutil.so.1",O_RDONLY)=3
open("/usr/lib/libncurses.so.5",O_RDONLY)=3
open("/lib/i686/libc.so.6",O_RDONLY)=3
open("/etc/resolv.conf",O_RDONLY)=3
open("/etc/nsswitch.conf",O_RDONLY)=3
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libnss_files.so.2",O_RDONLY)=3
open("/etc/services",O_RDONLY)=3
open("/etc/host.conf",O_RDONLY)=3
open("/etc/hosts",O_RDONLY)=3
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libnss_nisplus.so.2",O_RDONLY)=3
open("/lib/libnsl.so.1",O_RDONLY)=3
open("/var/nis/NIS_COLD_START",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/etc/ld.so.cache",O_RDONLY)=3
open("/lib/libnss_dns.so.2",O_RDONLY)=3
open("/lib/libresolv.so.2",O_RDONLY)=3
open("/etc/services",O_RDONLY)=3
open("/root/.telnetrc",O_RDONLY)=-1ENOENT(Nosuchfileordirectory)
open("/usr/share/terminfo/l/linux",O_RDONLY)=4
从输入中能够发明ldd显现不出来的几个库
/lib/libnss_dns.so.2,
/lib/libresolv.so.2,
/lib/libnsl.so.1,
/lib/libnss_nisplus.so.2,
/lib/libnss_files.so.2


strace-oaa-ff-pPID会发生aa称号开首的多个文件


grepopenaa*|grep-v-eNo-enull-edenied|grepWR检察其翻开挪用的文件信息。


16
要把日记发送到日记主机步调:
a.vi/etc/syslog.conf*.*@192.168.20.163把一切日记发送到192.168.20.163
b.servicesyslogrestart
c.在192.168.20.163装置kiwisyslogd
d.近程上岸,存心输出毛病暗码,可看到日记主机下马上有报警,也能够tcpdumpport514察看


17
假如晓得黑客是0927进侵的,则:
touch-t09270000/tmp/a
find/(-newer/tmp/a-o-cnewer/tmp/a)-l
如许那天改动和创立的文件被列出


18
整盘复制
ddif=/dev/sdaof=/dev/sdbbs=1024
分区复制测试过
ddif=/dev/sda1of=/abcbs=1024这里是保留在了根分区,用mount检察是sda2
启动另外一个linux
输出:mount/dev/sda2/mnt
这里能够看到方才的abc文件,输出:mountaa/tmp-oloop
这里看到就是方才镜像的文件内容


19find
查找指定字符的文件(测试发明二进制也能够发明,是strings后的内容)
find/tmp-typef-execgrep"noexist"{};-print


find/etc/rc.d-name*crond-execfile{};


查找/etc/rc.d目次上面一切以crond停止的文件,并利用file指令检察其属性,注重:exec和file间是一个空格,file和{}间是一个空格,file和;之间是一个空格,;是一个全体。


20
kill-SIGSEGV历程号会发生一个core文件,用strings能够看信息,用一个c步伐能够从头构建它的可实行步伐,study/unix/下保留一个文章。测试没发生core,缘故原由


欢迎大家来到仓酷云论坛!

兰色精灵 发表于 2015-1-16 18:04:31

给大家带来Linux进侵反省有用指令

我感觉linux的学习,学习编程~!~!就去学习C语言编程!!

不帅 发表于 2015-1-25 22:24:26

随着Linux技术的更加成熟、完善,其应用领域和市场份额继续快速增大。目前,其主要应用领域是服务器系统和嵌入式系统。然而,它的足迹已遍布各个行业,几乎无处不在。

若天明 发表于 2015-2-4 15:51:54

我是学习嵌入式方向的,这学期就选修了这门专业任选课。

admin 发表于 2015-2-10 04:16:15

工具书对于学习者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多。

山那边是海 发表于 2015-2-28 21:22:52

老实说,第一个程序是在C中编译好的,调试好了才在Linux下运行,感觉用vi比较麻烦,因为有错了不能调试,只是提示错误。

深爱那片海 发表于 2015-3-17 12:09:43

其中不乏很多IT精英的心血。我们学透以后更可以做成自己的OS!?

愤怒的大鸟 发表于 2015-3-17 12:09:44

安装一个新的软件时先看README,再看INSTALL然后看FAQ,最后才动手安装,这样遇到问题就知道为什么。如果Linux说明文档不看,结果出了问题再去论坛来找答案反而浪费时间。

分手快乐 发表于 2015-3-24 13:44:53

Windows有MS-DOS?方式,在该方式下通过输入DOS命令来操作电脑;Linux与Windows类似,也有命令方式,Linux?启动后如果不执行?X-WINDOWS,就会处于命令方式下,必须发命令才能操作电脑。?
页: [1]
查看完整版本: 给大家带来Linux进侵反省有用指令