頻道欄目
首頁 > 資訊 > 系統安全 > 正文

putty和WinSCP后門檢查及清理方式

12-02-03        來源:[db:作者]  
收藏   我要投稿
檢查及清理方式
 
  檢查/var/log 是否被刪除# /usr/bin/stat /var/log
  如果被刪除了,說明中招了
  查看/var/log 文件夾內容# ls -al /var/log
  如果文件很少,說明中招了
  監控名稱為fsyslog,osysllog 的進程# /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
  如果有名稱為fsyslog或osyslog的進程,說明中招了,注意不要和正常的系統日志進程混淆
  檢查/etc/init.d/sshd 的文件頭是否被篡改過# /usr/bin/head /etc/init.d/sshd
  檢查/etc/init.d/sendmail 的文件頭是否被篡改過# /usr/bin/head /etc/init.d/sendmail
  檢查是否有對外鏈接的82 端口# /bin/netstat -anp | /bin/grep ':82'
  如果有,而你又沒設置過,說明已經中招了
  檢查是否有鏈接到98.126.55.226 的鏈接# /bin/netstat -anp | /bin/grep '98\.' --color
  如果有,說明已經中招了
  檢查/etc 文件夾下的隱藏文件.fsyslog .osyslog,檢查/lib 文件夾下的隱藏文件.fsyslog .osyslog
  /usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
  /usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
  /usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
  /usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
  如果有近期修改過的名稱包含fsyslog或osyslog的文件,說明已經中招了
 
恢復系統日志
 
  查看系統日志文件夾# ls -al /var/log
  創建系統日志文件夾# /bin/mkdir /var/log
  如果被刪除的話需要創建
  查看系統日志服務# /usr/bin/find /etc/init.d/ -name '*log*'
  需要區分出你的服務器所使用的日志服務
  關閉系統日志服務# /sbin/service syslog stop
  你的服務器的日志服務的名稱可能是另外一個名字
  啟動系統日志服務# /sbin/service syslog start
  你的服務器的日志服務的名稱可能是另外一個名字
  創建錯誤登錄日志文件# /bin/touch /var/log/btmp
  設置錯誤登錄日志文件用戶組# /bin/chown root:utmp /var/log/btmp
  設置錯誤登錄日志文件權限# /bin/chmod 600 /var/log/btmp
  創建登錄日志文件# /bin/touch /var/log/wtmp
  設置登錄日志文件用戶組# /bin/chown root:utmp /var/log/wtmp
  設置登錄日志文件權限# /bin/chmod 664 /var/log/wtmp
 
恢復SELinux(安全增強Linux)設置
 
  查看SELinux 狀態# /usr/sbin/sestatus -v
  檢查/var/log 文件夾的安全上下文# /sbin/restorecon -rn -vv /var/log
  恢復/var/log 文件夾的安全上下文# /sbin/restorecon -r -vv /var/log
  檢查/etc 文件夾的安全上下文# /sbin/restorecon -rn -vv /etc 2>/dev/null
  恢復/etc 文件夾的安全上下文# /sbin/restorecon -r -vv /etc 2>/dev/null
  檢查/lib 文件夾的安全上下文# /sbin/restorecon -rn -vv /lib 2>/dev/null
 
作者 胡爭輝
相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站