UNIX、Linux應(yīng)急響應(yīng)檢查清單

UNIX/Linux應(yīng)急響應(yīng)檢查清單■文檔編號■密級■版本編號■日期目錄TOC\h\z\t"附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標(biāo)題1（綠盟科技）,1,標(biāo)題2（綠盟科技）,2,標(biāo)題3（綠盟科技）,3"一.系統(tǒng)后門程序 11.1chkrootkit-0.49-Mini.sh 11.2chkrootkit 11.3RootkitHunter 2二.用戶及用戶文件 22.1passwd文件 22.1.1文件權(quán)限 22.1.2用戶檢查 22.2shadow文件 32.3UID信息 32.4Shell日志 3三.系統(tǒng)日志分析 33.1messages日志 33.2cron日志 33.3secure日志 43.4last日志 4四.網(wǎng)絡(luò)連接 44.1當(dāng)前登錄用戶 44.2端口開放情況 5五.進(jìn)程與服務(wù) 55.1進(jìn)程信息 55.2服務(wù)信息 5六.文件系統(tǒng) 56.1SUID 56.2文件完整行檢查 5七.信息收集與提交 6系統(tǒng)后門程序chkrootkit-0.49-Mini.sh顧名思義，chkrootkit-0.49-Mini.sh是chkrootkit的Mini版。其內(nèi)容全部來自chkrootkit，但僅限于腳本實(shí)現(xiàn)部分，可用于沒有安裝make或makesense無法通過的主機(jī)。chkrootkit-0.49-Mini.sh為sh腳本，在大部分系統(tǒng)上可順利運(yùn)行，其檢測主要以rootkit等惡意程序常用的文件名、目錄為檢查對象，因此，雖方便運(yùn)行，但并不能完全替代chkrootkit和rootkitHunter。使用方法：chkrootkit-0.49-Mini.sh或：chmod+xchkrootkit-0.49-Mini.sh./chkrootkit-0.49-Mini.shchkrootkitchkrootkit是一款用于UNIX/Linux的本地rootkit檢查工具。chkrootkit官方站點(diǎn)：/一般操作指南：下載chkrootkit：wget–c.br/pub/seg/pac/chkrootkit.tar.gz編譯：tarxvzfchkrootkit.tar.gzcdchkrootkit-xxmakesense檢測rootkit：./chkrootkit–q若使用LiveCD啟動主機(jī)，將原主機(jī)硬盤（被入侵）掛接在/mnt下，我們可以使用-r參數(shù)指定被入侵主機(jī)的根目錄，進(jìn)行離線檢查，chkrootkit最終僅輸出可疑的項(xiàng)目：

./chkrootkit–q–r/mntRootkitHunterRootkitHunter結(jié)果比chkrootkit更為詳細(xì)和精準(zhǔn)，若有條件，建議使用RootkitHunter對系統(tǒng)進(jìn)行二次復(fù)查。RootkitHunter官方站點(diǎn)：http://www.rootkit.nl/projects/rootkit_hunter.htmlRootkitHunter下載訪問：/projects/rkhunter/一般操作指南：安裝RootkitHunter：tarxvzfrkhunter-xx.tar.gzcdrkhunter-xx./install.sh--layoutdefault--install（若自定義安裝路徑，需執(zhí)行：./install--layoutcustom/custom_path--install）使用RootkitHunter：rkhunter–check（若自定義安裝目錄，需寫全路徑）用戶及用戶文件passwd文件文件權(quán)限/etc/passwd默認(rèn)權(quán)限為644，其最小權(quán)限為444，首先應(yīng)對該文件權(quán)限進(jìn)行檢查，以確認(rèn)配置是否正確：ls–l/etc/passwd用戶檢查查看passwd文件內(nèi)容：cat/etc/passwd查看是否存在可疑帳號。shadow文件shadow默認(rèn)權(quán)限為600，最小權(quán)限為400，檢查權(quán)限配置是否正確：ls–l/etc/shadowUID信息passwd文件中，每行用戶信息以冒號間隔，其中第三段為用戶UID，檢查除root用戶外是否存在其他用戶的UID為0，也可執(zhí)行命令：awk-F:'$3==0{print}'/etc/passwd（若UID=0，則打印本行信息）Shell日志Bash日志存儲于用戶目錄的.bash_history文件中，存儲條目數(shù)量與shell變量$HISTSIZE有關(guān)。系統(tǒng)日志分析messages日志Solaris的messages日志位置為/var/adm/messagesRedHat的messages日志位置為/var/log/messagesmessages中記錄有運(yùn)行信息和認(rèn)證信息，對于追查惡意用戶的登錄行為有很大幫助，例如，下面即為一條su日志：Mar2211:11:34abcPAM_pwdb[999]:authenticationfailure;cross(uid=500)->rootforsuservicecron日志Solaris的cron日志默認(rèn)記錄在/var/cron/log中RedHat的cron日志默認(rèn)記錄在/var/log/cron中secure日志Linux的ssh登錄日志會存儲于/var/log/secure中，若日志中出現(xiàn)連續(xù)大量的登錄錯誤信息，則可能意味著遠(yuǎn)程主機(jī)在嘗試破解ssh登錄口令。last日志last命令用于查看最近的用戶登錄情況，last命令讀取wtmp內(nèi)容。在Linux還中還存在lastlog命令，用于查看系統(tǒng)內(nèi)所有帳戶最后一次登錄信息，該命令讀取/var/log/lastlog內(nèi)容。網(wǎng)絡(luò)連接當(dāng)前登錄用戶執(zhí)行w命令可以確定當(dāng)前哪些用戶已登錄系統(tǒng)。輸出信息中個列含義：USER字段顯示當(dāng)前登錄系統(tǒng)的用戶名TTY字段顯示分配給用戶會話的終端。ttyX表示在控制臺登錄，pts/X和ttypX表示網(wǎng)絡(luò)連接FROM字段顯示遠(yuǎn)程登錄主機(jī)的IP地址LOGIN@字段顯示登錄用戶的本地起始時間IDLE字段顯示最近一個進(jìn)程運(yùn)行開始算起的時間長度JCPU字段顯示在該控制臺或網(wǎng)絡(luò)連接的全部進(jìn)程所用的時間PCPU字段顯示W(wǎng)HAT欄中當(dāng)前進(jìn)程所使用的處理器時間WHAT字段顯示用戶正在運(yùn)行的進(jìn)程端口開放情況使用netstat–anp（Solaris使用netstat-an）命令查看當(dāng)前開放的端口。使用lsof–i（僅限Linux）顯示進(jìn)程和端口對應(yīng)關(guān)系。進(jìn)程與服務(wù)進(jìn)程信息Linux系統(tǒng)中使用命令ps–aux查看進(jìn)程Solaris系統(tǒng)中使用命令ps–eaf查看進(jìn)程。服務(wù)信息Linux系統(tǒng)下可以使用chkconfig–list查看服務(wù)啟動信息，各服務(wù)的啟動腳本存放在/etc/init.d/和/etc/xinetd.d目錄下。Solaris系統(tǒng)下，服務(wù)可以通過svcadm或inetadm命令進(jìn)行管理。文件系統(tǒng)SUID使用命令find/-perm-004000-typef輸出所有設(shè)置了SUID的文件。文件完整行檢查在RedHatLinux等以rpm作為包管理工具的系統(tǒng)中，使用rpm命令可搜索自rpm包安裝后發(fā)生了變化的程序：rpm–Va列舉全部軟件包的變化情況rpm–Vpackage列舉某個程序包的變化情況信息收集與提交為快速收集信息，提供連個用于收集信息的perl腳本：IRIC_RHL.PL，運(yùn)行于RedHatLinux的信息收集腳本IRIC_SOL.PL，運(yùn)行于Solaris的信息收集腳本腳本收集以下信息：passwd文件權(quán)限和內(nèi)容所有用戶的UID值用戶在線（登錄）信息進(jìn)程列表網(wǎng)絡(luò)連接信息服務(wù)列表所有的.bash_history內(nèi)容摘自rootkithunter的rootkit關(guān)鍵文件及目錄檢測（與chkrootkit類似）Last命令輸出信息腳本使用方法：PerlIRIC_RHL.PL或：chmod+xIRIC_RHL.PL./IRIC_RHL.PL腳本創(chuàng)建目錄NSF0CUS_ER_REPORT并在目錄中產(chǎn)生，以NSF0CUS_RH_CHKER_為