IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		图片批量下载器
↓批量下载图片,美女图库↓ 		图片自动播放器
↓图片自动播放器↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> day69-linux入侵检测 -> 正文阅读

[系统运维]day69-linux入侵检测

入侵检测

  • 本地检测方法

  • 云平台的检测方法

查看系统日志

查看安全相关日志

  • ssh远程登录失败日志
[root@instructor ~]# grep -i Failed /var/log/secure
May 20 12 :15:35 instructor sshd[12070]: Failed password for root from 192.168.1.12 port 50720 ssh2
May 20 12 :15:48 instructor sshd[12086]: Failed password for root from 192.168.1.114 port 52765 ssh2
  • ssh远程登录成功日志
[root@instructor ~]# grep -i Accepted /var/log/secure
Oct 24 12 :18:06 chao sshd[7086]: Accepted password for root from 172.16.130.91 port 41415 ssh2
Oct 24 12 :18:06 chao sshd[7084]: Accepted password for root from 172.16.130.81 port 42986 ssh2
  • 统计登录成功或登录失败的ip,并进行去重降序排列
grep -i Accepted /var/log/secure |awk '{print $(NF-3)}' |grep '^[0-9]' |sort |uniq -c |sort -rn

grep -i Failed /var/log/secure |awk '{print $(NF-3)}' |egrep '^[0-9]' |sort |uniq -c |sort -rn
  • 查看历史用户登录信息 last
  1. 查看最后 5 条登录信息
[root@localhost ~]# last -a -5
root pts/2 Mon Feb 25 06 :21 still logged in  192 .168.2.
root pts/1 Mon Feb 25 01 :10 still logged in :
root :0 Mon Feb 25 01 :09 still logged in :
root pts/0 Sun Feb 24 23 :39 still logged in  192 .168.2.
reboot system boot Sun Feb 24 23 :36 - 06 :21 (06:45) 3 .10.0-862.el7.x86_64
  1. 查看指定时间之前登录信息
[root@localhost ~]# last -a -t 20190210123030
#2019-02-10 12:30:30之前
  1. 查看登录系统的用户相关信息
[root@localhost ~]# last -a -f /var/log/btmp
  • 查看记录每个用户最后的登入信息
[root@localhost ~]# lastlog
用户名 端口 来自 最后登陆时间
root pts/2 192 .168.2.1 一 225 06 :21:27 + 0800 2019
bin **从未登录过**
daemon **从未登录过**
adm **从未登录过**
lp **从未登录过**
sync **从未登录过**
shutdown **从未登录过**
halt **从未登录过**
mail **从未登录过**
operator **从未登录过**
games **从未登录过**
ftp **从未登录过**
nobody **从未登录过**
systemd-network **从未登录过**
dbus **从未登录过**
polkitd **从未登录过**
libstoragemgmt **从未登录过**
rpc **从未登录过**
colord **从未登录过**
gluster **从未登录过**
saslauth **从未登录过**
amandabackup **从未登录过**
abrt **从未登录过**
setroubleshoot **从未登录过**
rtkit **从未登录过**
pulse **从未登录过**
rpcuser **从未登录过**
nfsnobody **从未登录过**
unbound **从未登录过**
chrony **从未登录过**
qemu **从未登录过**
radvd **从未登录过**
tss **从未登录过**
usbmuxd **从未登录过**
geoclue **从未登录过**
ntp **从未登录过**
sssd **从未登录过**
gdm :0 日 224 23 :36:56 + 0800 2019
gnome-initial-setup :0 一 211 22 :03:38 + 0800 2019
sshd **从未登录过**
avahi **从未登录过**
postfix **从未登录过**
tcpdump **从未登录过**
tom :0 一 211 22 :06:38 + 0800 2019
  • 统计当前在线状态
[root@localhost ~]# w
06:27:49 up 3:18, 4 users, load average: 0.00, 0.04, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.2.1 23:39 5:09m 1.11s 1.11s -bash
root :0 :0 01:09 ?xdm? 3:10 0.34s /usr/libexec/gn
root pts/1 :0 01:10 5:14m 0.13s 0.13s bash
root pts/2 192.168.2.1 06:21 5.00s 0.13s 0.02s w
  • 查看系统主日志
1 [root@localhost ~]# less /var/log/messages
  • 查看计划任务
[root@localhost ~]# less /var/log/cron
[root@localhost ~]# cat /var/spool/cron/*
[root@localhost ~]# less /etc/crontab
[root@localhost ~]# ls /etc/cron.*

查看异常流量

  • iftop 动态查看网卡接口流量
[root@localhost ~]# yum -y install epel-release
[root@localhost ~]# yum -y install iftop
[root@localhost ~]# iftop -i ens33

在这里插入图片描述

  • 流量监控
    Cacti,Zabbix,Ganglia,Prometheus+grafana等

  • 数据包抓取
    wireshark,tcpdump,sniffer

  • tcpdump

  1. 基本用法
# tcpdump -i eth0 -nnv
# tcpdump -i eth0 -nnv -c 100
# tcpdump -i eth0 -nnv -w /file1.tcpdump
# tcpdump -nnv -r /file1.tcpdump
  1. 条件:port,host,net
# tcpdump -i eth0 -nnv not port 80
# tcpdump -i eth0 -nnv port 22
# tcpdump -i eth0 -nnv port 80
# tcpdump -i eth0 -nnv net 192.168.0.0/
# tcpdump -i eth0 -nnv host 192.168.0.
# tcpdump -i eth0 -nnv dst port 22
# tcpdump -i eth0 -nnv src port 22
  1. 协议作为条件
# tcpdump -i eth0 -nnv arp
# tcpdump -i eth0 -nnv icmp
# tcpdump -i eth0 -nnv udp #udp协议
# tcpdump -i eth0 -nnv tcp #tcp协议,三次握手及四次断开
# tcpdump -i eth0 -nnv ip #ip协议
# tcpdump -i eth0 -nnv vrrp #keepalived使用协议
  1. 多条件:与关系(and) 或关系(or) 非关系(not)
# tcpdump -i eth0 -nnv not net 192.168.0.0/
# tcpdump -i eth0 -nnv not port 80
# tcpdump -i eth0 -nnv host 192.168.0.15 and port 22
# tcpdump -i eth0 -nnv host 192.168.0.15 and host 192.168.0.
# tcpdump -i eth0 -nnv host 192.168.0.15 or host 192.168.0.
# tcpdump -i eth0 -nnv \( host 192.168.0.15 and port 22 \) or \( host 192.168.0.33 and port 80 \)

# tcpdump -i eth0 -nnv host 192.168.0.110 and port 22 or port 80
# tcpdump -i eth0 -nnv host 192.168.0.110 and \( port 22 or port 80\)

# tcpdump -i eth0 -nnv host 192.168.0.110 and port 80
# tcpdump -i eth0 -nnv host 192.168.0.110 and! port 80
  • 条件为TCP仅有SYN标记的
# man tcpdump
# tcpdump -i eth0 -nnv tcp[13]==2

|C|E|U|A|P|R|S|F|
|--------------- |
|0 0 0 0 0 0 1 0 |
|--------------- |
|7 6 5 4 3 2 1 0 |
# tcpdump -i eth0 -nnv tcp[13]==2 and port 22 -w ssh-conn.tcpdump

条件是:TCP仅有SYN/ACK标记的
# tcpdump -i eth0 -nnv tcp[13]==18

|C|E|U|A|P|R|S|F|
|--------------- |
|0 0 0 1 0 0 1 0 |
|--------------- |
|7 6 5 4 3 2 1 0 |

# tcpdump -i eth0 -nnv tcp[13]==17

检查可疑进程

  • 基本工具 ps pstree top netstat ss
  1. ps
    系统进程一般还有“[]”
 ps -aux | less
  1. pstree
    显示每个程序的完全指令,包含路径、参数或是常驻服务标识、列出树状图时特别标注现在执行的程序
pstree -a
pstree -h
  1. top
    按cpu、内存排序
top -d 1
# 按P以CPU使用排序
# 按M以内存使用排序
  1. netstat
    查看网络连接情况
netstat -anputl
  1. ss
    查看某个协议或端口的监听状态
ss -an | grep tcp

ss -an | grep 22
  • 根据文件或端口查找进程
lsof /usr/sbin/vsftpd
fuser /usr/local/nginx/sbin/nginx
  1. 根据某文件查看正在被某些进程使用
lsof -i TCP:
fuser -v 22/tcp
  1. 根据某个端口查看对应进程
扩展:
  • Kernel Audit 内核审计

文件完整性检查

  • 检验RPM包完整性
    没有显示说明包没有被修改
rpm -V bash
rpm -V kernel
rpm -V vsftpd
rpm -Vf /etc/ssh/sshd_config
  • md5sum/sha1sum检测
  1. 获取当前的/etc 目录md5值
find /etc -type f -exec md5sum {} \; >/tmp/`date +%F%H%M`-md5.txt

  1. 修改文件、删除文件、添加文件

  2. 重新获取/etc目录的md5值

find /etc -type f -exec md5sum {} \; >/tmp/`date +%F%H%M`-md5.txt
  1. 对比以上md5值获取操作过的文件
1 diff /tmp/1-md5.txt /tmp/2-md5.txt
扩展:
  • HIDS:AIDE 高级入侵检测环境
  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-09-03 12:21:05  更:2021-09-03 12:23:10 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 13:24:54-

图片自动播放器
↓图片自动播放器↓ 		TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓ 		图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码