当系统被黑客入侵、需短时间查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施。以下给出一些入侵排查思路
netstat -antpl
查看当前端口状态是LISTEN的端口
先查看ssh爆破的日志
vim /var/log
如果登录成功日志中会出现关键字 Accepted password
可通过下面命令,进行查找
grep "Accepted password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看nginx日志
这样看的话很乱,我们可以通过命令进行筛选
cat access.log | awk '{print $1,$6,$7,$9}' >1.txt
进入1.txt查看
lastlog查看最近登录过的用户
history 查看历史执行命令
history -c 清除历史执行命令记录
cat /root/.bash 查看历史执行命令
rm- rf /root/.bash删除
可通过su命令进入入侵者新建的用户,通过history 或者 cat /root/.bash 查看攻击者执行的历史命令
crontab -l 查看当前用户设置的计划任务
cat /root/.bash_history 查看当前用户设置的计划任务