设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 创业者 数据 手机
当前位置: 首页 > 服务器 > 安全 > 正文

监控Linux文件变化,防止系统被黑

发布时间:2020-01-07 17:46 所属栏目:53 来源:站长网
导读:副标题#e# 运维服务器比较头疼的一个问题是系统被黑,沦为肉鸡或者矿机。除了加强安全基线配置,加强网络和端口加固,系统和应用bug修复,上IDS/IPS(入侵检测/防御系统)之外,另一个方面就是系统监控,一个完善准确的安全监控可以在主机层面及时发现入侵活

运维服务器比较头疼的一个问题是系统被黑,沦为肉鸡或者矿机。除了加强安全基线配置,加强网络和端口加固,系统和应用bug修复,上IDS/IPS(入侵检测/防御系统)之外,另一个方面就是系统监控,一个完善准确的安全监控可以在主机层面及时发现入侵活动、予以告警以备及时处理。本文虫虫就给大家来说说系统文件变化的监控。

监控Linux文件变化,防止系统被黑

概述

在*nix体系一切皆文件,系统文件的变化往往反应着系统的变化,比如系统应用的更新、系统的操作活动(可以用安全审计来确定)或系统被黑。根据虫虫多年来维护经验系统被黑最明显之一的特征就是系统文件变化,包括不限于:

/bin (替换基本工具为恶意木马等,比如netstat,ps等)

/sbin (替换基本工具为恶意木马等,比如sshd,lsof,ss等)

/usr/bin(替换基本工具为恶意木马等,比如sshd,lsof,ss等)

/usr/sbin (替换基本工具为恶意木马等,比如sshd,lsof,ss等)

/etc/init.d (修改开机启动任务,添加恶意脚本开机启动)

/etc/

/etc/cront.d (修改计划任务,添加恶意脚本定时执行)

/etc/crontab (修改计划任务,添加恶意脚本定时执行)

~/.ssh/目录 (注入公钥)

/etc/sysconfig (修改iptables配置等,开放网络限制)

/etc/ssh/ (修改ssh配置)

web目录 (修改网站)

等目录下文件被替换或者添加非法文件。

加强对这些目录和文件的监控,就可以在一定程度上防止系统被黑,以及系统被黑,而无法发现的问题。

find –mtime目录文件变化

监控系统变化的最简单,最常用的方法是使用find命令,其-mtime表示最近有过变动的文件。

比如要查看一天内/usr/bin目录下变化过的文件可以使用

find /usr/bin -m -1 

要看详细这些文件详细信息,可以用xargs或者-exec把这些变化文件在用ls -al显示出来,比如:

find /var -type f -mtime -1 -exec ls -al {} \; 

监控Linux文件变化,防止系统被黑

RPM监控系统文件的变化

RPM是Linux一种应用包,利用RPM安装应用大家可能都熟悉。实际上RPM还是一个系统包数据库,并提供包验证功能,可以用来发现原始安装包变化情况。RPM应用包文件验证的基本命令是rpm -V。比如查询验证nginx包可以用rpm -V nginx:

监控Linux文件变化,防止系统被黑

该命令结果的前几位属性验证,.表示属性正常,其他标志表示属性有变化,如果文件被删除,则会提示"missing …"。具体属性的含义如下:

监控Linux文件变化,防止系统被黑

结果表示:nginx包中default.conf文件的大小,md5哈希值,文件修改时间都改变了。

注意:上图中中间位还有个字母c标志,该标表示文件的属性,c表示文件为配置文件。其他标志有:d %doc 说明文档;g %ghost 不应包含的文档,有可能有问题;l %license 授权文件;r %readme readme说明文件。

-V选项增加-a就可以列出当前系统中安装后,所有变化过的包文件,可以以此来检查文件包的完整性,安全性等。我们对结果使用grep进一步检查就得到具体的文件,比如要获取bin目录系统文件变化过的文件:

监控Linux文件变化,防止系统被黑

Inotify监控文件变化

另一个比较常用的方法是用Inotify来监控文件变化。Inotify是Linux内核自带(2.6.13)的系统事件监控机制。Inotify优点之一是基于内核事件通知机制,无需定时主动探测文件状态,简单可靠。另一个好处是有文件变化时通知时候,可以记录当时的用户和事件进程。基于Inotify的工具有inotify-tools、sersync和lsyncd等,我们此处简单介绍inotify-tools使用。

(1) inotify-tools安装

安装比较简单,以centos为例,先添加epel源,然后

yum install inotify-tools 

(2) inotify-tools使用

inotify-tools安装后会附带两个工具即inotifywait和inotifywatch。inotifywait工具用来添加文件或目录监控,支持对文件的一些操作事件,比如open、close、delete等,运行后系统处于阻塞状态。inotifywait的参数和对应事件列表如下图所示:

监控Linux文件变化,防止系统被黑

做为安全方面考虑,重点关注文件文件变化和创建时间,即modify和create事件。

inotifywatch工具用来查看所监视的文件发生事件的数据统计。

下面举一个实例来说明,我们用inotifywait来监控/var目录下文件的变化:

inotifywait -mre modify /var 

监控Linux文件变化,防止系统被黑

为了便于阅读,我们添加一些日志和时间格式参数:

inotifywait -mrq --timefmt '%d%m%y %H:%M' --format '%T %w%f' -e modify -e create /var 

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读