02.UNIX／Linux-應(yīng)急響應(yīng)檢查清單

1、UNIX/Linux 應(yīng)急響應(yīng)檢查清單應(yīng)急響應(yīng)檢查清單 文檔編號(hào)文檔編號(hào) 密級(jí)密級(jí) 版本編號(hào)版本編號(hào) 日期日期UNIXLinux 應(yīng)急響應(yīng)檢查清單- I -目錄目錄一. 系統(tǒng)后門程序.11.1 CHKROOTKIT-0.49-MINI.SH.11.2 CHKROOTKIT.11.3 ROOTKIT HUNTER.2二. 用戶及用戶文件.22.1 PASSWD文件.22.1.1 文件權(quán)限.22.1.2 用戶檢查.22.2 SHADOW文件.32.3 UID 信息.32.4 SHELL日志.3三. 系統(tǒng)日志分析.33.1 MESSAGES日志.33.2 CRON日志.33.3 SECURE日志.4

2、3.4 LAST日志.4四. 網(wǎng)絡(luò)連接.44.1 當(dāng)前登錄用戶.44.2 端口開放情況.5五. 進(jìn)程與服務(wù).55.1 進(jìn)程信息.55.2 服務(wù)信息.5六. 文件系統(tǒng).56.1 SUID.56.2 文件完整行檢查.5七. 信息收集與提交.6UNIXLinux 應(yīng)急響應(yīng)檢查清單 2007 xxxx作者：作者：seven - 1 -一一. 系統(tǒng)后門程序系統(tǒng)后門程序1.1 chkrootkit-0.49-Mini.sh顧名思義，chkrootkit-0.49-Mini.sh 是 chkrootkit 的 Mini 版。其內(nèi)容全部來自chkrootkit，但僅限于腳本實(shí)現(xiàn)部分，可用于沒有安裝 make

3、或 make sense 無法通過的主機(jī)。chkrootkit-0.49-Mini.sh 為 sh 腳本，在大部分系統(tǒng)上可順利運(yùn)行，其檢測主要以 rootkit等惡意程序常用的文件名、目錄為檢查對象，因此，雖方便運(yùn)行，但并不能完全替代chkrootkit 和 rootkit Hunter。使用方法：chkrootkit-0.49-Mini.sh或：chmod +x chkrootkit-0.49-Mini.sh ./chkrootkit-0.49-Mini.sh1.2 chkrootkitchkrootkit 是一款用于 UNIX/Linux 的本地 rootkit 檢查工具。chkrootk

4、it 官方站點(diǎn)：/一般操作指南：下載 chkrootkit：wget c ftp:/.br/pub/seg/pac/chkrootkit.tar.gz編譯：tar xvzf chkrootkit.tar.gzcd chkrootkit-xxmake sense檢測 rootkit：./chkrootkit q若使用 Live CD 啟動(dòng)主機(jī)，將原主機(jī)硬盤（被入侵）掛接在/mnt 下，我們可以使用-r 參數(shù)指定被入侵主機(jī)的根目錄，進(jìn)行離線檢查，chkrootkit 最終僅輸出可疑的項(xiàng)目：UNIXLinux 應(yīng)急響應(yīng)檢查清單 2007 xxxx作者：

5、作者：seven - 2 -./chkrootkit q r /mnt1.3 Rootkit HunterRootkit Hunter 結(jié)果比 chkrootkit 更為詳細(xì)和精準(zhǔn)，若有條件，建議使用 Rootkit Hunter對系統(tǒng)進(jìn)行二次復(fù)查。Rootkit Hunter 官方站點(diǎn)：http:/www.rootkit.nl/projects/rootkit_hunter.htmlRootkit Hunter 下載訪問：http:/ Rootkit Hunter：tar xvzf rkhunter-xx.tar.gzcd rkhunter-xx./install.sh -layout de

6、fault -install（若自定義安裝路徑，需執(zhí)行：./install -layout custom /custom_path -install）使用 Rootkit Hunter：rkhunter check（若自定義安裝目錄，需寫全路徑）二二. 用戶及用戶文件用戶及用戶文件2.1 passwd 文件文件2.1.1 文件權(quán)限文件權(quán)限/etc/passwd 默認(rèn)權(quán)限為 644，其最小權(quán)限為 444，首先應(yīng)對該文件權(quán)限進(jìn)行檢查，以確認(rèn)配置是否正確：ls l /etc/passwdUNIXLinux 應(yīng)急響應(yīng)檢查清單 2007 xxxx作者：作者：seven - 3 -2.1.2 用戶檢查用戶

7、檢查查看 passwd 文件內(nèi)容：cat /etc/passwd查看是否存在可疑帳號(hào)。2.2 shadow 文件文件shadow 默認(rèn)權(quán)限為 600，最小權(quán)限為 400，檢查權(quán)限配置是否正確：ls l /etc/shadow2.3 UID 信息信息passwd 文件中，每行用戶信息以冒號(hào)間隔，其中第三段為用戶 UID，檢查除 root 用戶外是否存在其他用戶的 UID 為 0，也可執(zhí)行命令：awk -F : $3=0print /etc/passwd（若 UID=0，則打印本行信息）2.4 Shell 日志日志Bash 日志存儲(chǔ)于用戶目錄的.bash_history 文件中，存儲(chǔ)條目數(shù)量與 s

8、hell 變量$HISTSIZE 有關(guān)。三三. 系統(tǒng)日志分析系統(tǒng)日志分析3.1 messages 日志日志Solaris 的 messages 日志位置為 /var/adm/messagesRedHat 的 messages 日志位置為 /var/log/messagesmessages 中記錄有運(yùn)行信息和認(rèn)證信息，對于追查惡意用戶的登錄行為有很大幫助，例如，下面即為一條 su 日志：UNIXLinux 應(yīng)急響應(yīng)檢查清單 2007 xxxx作者：作者：seven - 4 -Mar 22 11:11:34 abc PAM_pwdb999:authentication failure;cross(

9、uid=500)-root for su service3.2 cron 日志日志Solaris 的 cron 日志默認(rèn)記錄在 /var/cron/log 中RedHat 的 cron 日志默認(rèn)記錄在 /var/log/cron 中3.3 secure 日志日志Linux 的 ssh 登錄日志會(huì)存儲(chǔ)于/var/log/secure 中，若日志中出現(xiàn)連續(xù)大量的登錄錯(cuò)誤信息，則可能意味著遠(yuǎn)程主機(jī)在嘗試破解 ssh 登錄口令。3.4 last 日志日志last 命令用于查看最近的用戶登錄情況，last 命令讀取 wtmp 內(nèi)容。在 Linux 還中還存在 lastlog 命令，用于查看系統(tǒng)內(nèi)所有帳戶

10、最后一次登錄信息，該命令讀取/var/log/lastlog 內(nèi)容。四四. 網(wǎng)絡(luò)連接網(wǎng)絡(luò)連接4.1 當(dāng)前登錄用戶當(dāng)前登錄用戶執(zhí)行 w 命令可以確定當(dāng)前哪些用戶已登錄系統(tǒng)。輸出信息中個(gè)列含義：USER 字段顯示當(dāng)前登錄系統(tǒng)的用戶名TTY 字段顯示分配給用戶會(huì)話的終端。ttyX 表示在控制臺(tái)登錄，pts/X 和 ttypX 表示網(wǎng)絡(luò)連接FROM 字段顯示遠(yuǎn)程登錄主機(jī)的 IP 地址LOGIN字段顯示登錄用戶的本地起始時(shí)間IDLE 字段顯示最近一個(gè)進(jìn)程運(yùn)行開始算起的時(shí)間長度UNIXLinux 應(yīng)急響應(yīng)檢查清單 2007 xxxx作者：作者：seven - 5 -JCPU 字段顯示在該控制臺(tái)或網(wǎng)絡(luò)連接的

11、全部進(jìn)程所用的時(shí)間PCPU 字段顯示 WHAT 欄中當(dāng)前進(jìn)程所使用的處理器時(shí)間WHAT 字段顯示用戶正在運(yùn)行的進(jìn)程4.2 端口開放情況端口開放情況使用 netstat anp（Solaris 使用 netstat -an）命令查看當(dāng)前開放的端口。使用 lsof i（僅限 Linux）顯示進(jìn)程和端口對應(yīng)關(guān)系。五五. 進(jìn)程與服務(wù)進(jìn)程與服務(wù)5.1 進(jìn)程信息進(jìn)程信息Linux 系統(tǒng)中使用命令 ps aux 查看進(jìn)程Solaris 系統(tǒng)中使用命令 ps eaf 查看進(jìn)程。5.2 服務(wù)信息服務(wù)信息Linux 系統(tǒng)下可以使用 chkconfig list 查看服務(wù)啟動(dòng)信息，各服務(wù)的啟動(dòng)腳本存放在/etc/i

12、nit.d/和/etc/xinetd.d 目錄下。Solaris 系統(tǒng)下，服務(wù)可以通過 svcadm 或 inetadm 命令進(jìn)行管理。六六. 文件系統(tǒng)文件系統(tǒng)6.1 SUID使用命令 find / -perm -004000 -type f 輸出所有設(shè)置了 SUID 的文件。UNIXLinux 應(yīng)急響應(yīng)檢查清單 2007 xxxx作者：作者：seven - 6 -6.2 文件完整行檢查文件完整行檢查在 RedHat Linux 等以 rpm 作為包管理工具的系統(tǒng)中，使用 rpm 命令可搜索自 rpm 包安裝后發(fā)生了變化的程序：rpm Va 列舉全部軟件包的變化情況rpm V package

13、列舉某個(gè)程序包的變化情況七七. 信息收集與提交信息收集與提交為快速收集信息，提供連個(gè)用于收集信息的 perl 腳本：IRIC_RHL.PL，運(yùn)行于 RedHat Linux 的信息收集腳本IRIC_SOL.PL，運(yùn)行于 Solaris 的信息收集腳本腳本收集以下信息：passwd 文件權(quán)限和內(nèi)容所有用戶的 UID 值用戶在線（登錄）信息進(jìn)程列表網(wǎng)絡(luò)連接信息服務(wù)列表所有的.bash_history 內(nèi)容摘自 rootkit hunter 的 rootkit 關(guān)鍵文件及目錄檢測（與 chkrootkit 類似）Last 命令輸出信息腳本使用方法：Perl IRIC_RHL.PL 或：chmod +x IRIC_RHL.PL ./IRIC_RHL.PL腳本創(chuàng)建目錄 NSF0CUS_ER_REPORT 并在目錄中產(chǎn)生，以 NSF0CUS_RH_CHKER_ 為前綴（或 NSF0CUS_SOL_CHKER_）的 LOG 文件。UNIXLinux 應(yīng)急響應(yīng)檢查清單 2007 xxxx作者：作者：seven - 7 -以上信息外，還需現(xiàn)場工程師協(xié)助收集以下日