记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

服务器被入侵了怎么办 rkhunter的简单安装及检测后门

2013-10-29 11:35
被入侵了,查看了下/var/log/messages和last都已经清理。

 

sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址 ---》邮件来报警

 

一、接着查看 host.allow 里面设置,禁止某个可疑ip的访问

 

 

二、用rkhunter扫下,是否存在rootkit恶意程序。

http://linux.vbird.org/linux_security/0420rkhunter.php

鸟哥讲的rkhunter

rkhunter的安装:

1.下载地址:http://www.rootkit.nl/projects/rootkit_hunter.html

2.配置安装

To perform a default installation of RKH simply unpack the tarball and,

as root, run the installation script:

 

tar zxf rkhunter-<version>.tar.gz

cd rkhunter-<version>

./installer.sh --install

 

Note: If some form of file permission error is shown, then check that the

'installer.sh' script is executable.

3.简单安装后,就可以进行检测后门

rkhunter --help 查看选项

--checkall (-c) :全系??z?y,rkhunter 的所有?z?y?目

 

rkhunter --check

第一部份,先?行 binary 的?z?y,包括 MD5 的?z?y喔

105955179.jpg

 

第一部份,先?行 binary 的?z?y,包括 MD5 的?z?y喔

 

在第一部份的?z?y?中,主要的工作就是在?z?一些系?重要的 binary files,# ?些?n案就是常被 root kit 程式包攻?舻墓???∷?允紫染偷靡?z?y他??啊!# 接下?磉M行第二部分的?z?y!

110237695.jpg

第二部分就是在?z?y常?的 rootkit 程式包所造成的系???Γ? ?部分的?z?y?然就是??Ω??常?的 rootkit 攻?舻?n案/目????y?樱? 接下?硎堑谌?糠值?z?y!

 

110628654.jpg

这是最后检测的汇总信息

三、检测后,如果哪个服务被设置了后门,则要将其卸载并删除相关文件及文件夹,然后重新安装。

四、接着查看bashrc 文件有没有异常情况。

五、查看网络连接有没有异常

六、查看重要目录(比如/etc)下有没有新创建的文件及目录

find /etc -cmin -10

七、防止攻击被反弹

 

首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!

 

看看你网站是以apache 还是noboday权限运行。 设置setfacl !比如是apache。那么我们就setfack –m u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是php的反弹脚本我还真没遇见过,有遇见的求给!!

 

其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!

 

由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl

 

至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事

知识来源: www.2cto.com/Article/201310/253700.html

阅读:96570 | 评论:0 | 标签:后门

想收藏或者和大家分享这篇好文章→复制链接地址

“服务器被入侵了怎么办 rkhunter的简单安装及检测后门”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云