Linux安全攻防筆記

一、上傳木馬的過程

1、默認端口22弱口令暴力破解；

2、21端口或者3306端口弱口令暴力破解；

3、webshell進行shell反彈提權；

4、木馬傳入服務器的上面並且執行，通過木馬的方式來控制你的服務器進行非法的操作。

二、常見操作

1、切入/tmp；

2、wget下載木馬；

3、木馬加載權限；

4、執行木馬；

5、后門，支持木馬復活。

三、清除木馬

1、網絡連接，過濾掉正常連接；

# netstat -nalp | grep "tcp" | grep -v "22" | grep "ESTABLISHED"

2、判斷一些異常連接，通過PID找到進程名稱；

# ps -ef | grep "27368"

3、通過名字，找到原文件，刪除掉原文件。

四、清除后門

1、檢查/etc/rc.local；

2、檢查計划任務crontab -l；

3、檢查/root/.bashrc和普通用戶下的.bashrc；

4、檢查/etc/profile文件定期進行md5校驗。

五、安全加固

1、了解常見的掃描和提權端口

  -22 端口暴力破解

  -21端口提權

  -3306 端口提權

  -webshell 反彈

2、如何對linux進行安全加固

  2.1進程數量監控及對比

    2.1.1、進程數量

    2.1.2、進程異常的名稱及PID號

2.1.3、根據PID號進行查詢網絡連接異常

寫一個腳本:

將服務器正常的進程號，導入到一個目錄，取個名字叫做原始.log，提取實時進程名稱>實時.log，通過diff去對比原始和實時的log區別，一旦發現對比不一樣，通過名稱得到PID號，然后通過PID查找網絡連接和監聽的端口號及IP地址。將這些信息發送告警到管理員的手機或者郵箱郵件里面，讓管理員進行判斷和分析。

  2.2、計划任務列表監控

2.2.1、查看計划任務

2.2.2、監控/var/log/cron日志

  2.3、用戶登錄監控

2.3.1、什么用戶登錄的？在什么時候登錄的？

2.3.2、用戶登錄IP是否合法？

2.3.3、用戶登錄的用戶名是否合法？

2.3.4、用戶登錄時間是否合法？

  2.4、/etc/passwd、/etc/shadow  MD5

2.4.1、MD5校驗防止有人更改passwd和shadow文件

2.4.2、passwd文件可以進行加鎖chattr權限

2.4.3、passwd定期進行備份，進行內容diff對比

  2.5、非有效用戶登錄shell權限

2.5.1、除了運維常用的維護賬號以外，其他賬戶不能擁有登錄系統的shell

2.5.2、針對/etc/passwd文件統計bash結尾的有多少個？將不用的改成/sbin/nologin

2.5.3、將不必要的賬戶刪除或者鎖定

  2.6、安全日志分析與監控/var/log/secure

2.6.1、定期或者實時分析/var/log/secure文件，是否有暴力破解和試探

2.6.2、過濾Accepted關鍵字，分析對應的IP是否為運維常用IP及端口號和協議。否則視為已經被入侵。

2.6.3、定期備份/var/log/secure防止此人入侵后，更改和刪除入侵目錄

  2.7、/etc/sudoers監控

2.7.1、防止對方通過webshell反彈的方式，增加普通用戶到/etc/sudoers

2.7.2、定期備份/etc/sudoers和監控，發現特殊的用戶寫入此文件，視為已被入侵。

2.7.3此配置文件，普通用戶可繞過root密碼直接sudo到root權限

  2.8、網絡連接數的異常

2.8.1、經常統計TCP連接，排除正常的連接以外，分析額外的TCP長連接，找出非正常的連接進程

2.8.2、發現異常進程后，通過進程名使用top的方式，或者find命令搜索木馬所在的位置

2.8.3、找到連接所監聽的端口號以及IP，將此IP拉入黑名單，KILL掉進程，刪除木馬源文件

2.8.4、監控連接監聽，防止木馬復活

  2.9、/etc/profile定期巡檢

2.9.1、檢查/etc/profile文件防止木馬文件路徑寫入環境變量，防止木馬復活

2.9.2、防止/etc/profile調用其他的命令或者腳本進行后門連接

2.9.3、此文件進行MD5校驗，定期備份與diff如發現異常則視為被入侵

  2.10、/root/.bashrc定期巡檢

2.10.1、檢查/root/.bashrc文件，防止隨着root用戶登錄，執行用戶變量，導致木馬復活

2.10.2、防止/root/.bashrc通過此文件進行后門創建與連接

2.10.3、此文件進行MD5校驗，定期備份與diff，如發現異常，則視為入侵

  2.11、常用端口號加固及弱口令

2.11.1、修改22默認端口號

2.11.2、修改root密碼為復雜口令或禁止root用戶登錄，使用key方式登錄

2.11.3、FTP要固定chroot目錄，只能在當前目錄，不隨意切換目錄

2.11.4、mysql注意修改3306默認端口號，授權的時候不允許使用%號進行授權。

2.11.5、mysql用戶及IP授權請嚴格進行授權，除了DBA,其他開發人員不應該知道JDBC文件對應的用戶名和密碼

  2.12、/tmp目錄的監控

2.12.1、由於/tmp目錄的特殊性，很多上傳木馬的第一目標就是/tmp

2.12.2、/tmp進行文件和目錄監控，發現變動及時警告

  2.13、WEB層面的防護

    所有WEB層的安全成為首要，要定期進行WEB程序漏洞掃描，發現之后及時通知開人員修補，對於金融行業的有必要邀請第三方定期進行滲透測試。

六、常見的安全網站

烏雲漏洞：http://www.wooyun.org

盒子漏洞：https://www.vulbox.com

國家信息安全漏洞平台：http://www.cnvd.org.cn

Freebuf：http://www.freebuf.com

STACKOVERFLOW：http://stackoverflow.com

CVE漏洞：http://cve.mitre.org

360BLOG：http://blogs.360.cn

OSR：http://www.osronline.com

漏洞庫：https://www.exploit-db.com

CODEPROJECT：http://www.codeproject.com

七、運維安全審計

1、環境安全

2、物理鏈路的安全

3、網絡安全

4、前端程序的安全

5、系統的安全

6、數據的安全

7、內部人員的安全