Release: 9.4
Codename: stretch
內核
Panda.Guo@2018-04-18 10:59:33 $ uname -a
Linux PandaGuo 4.9.0-6-amd64 #1 SMP Debian 4.9.82-1+deb9u3 (2018-03-02) x86_64 GNU/Linux
3. Debian 9 入侵分析
3.1
用戶帳號
從攻擊的角度來講,Hacker實施攻擊後,除了會“掩蹤滅跡”之外還會進行“創建後門”,以便將這種攻擊的機會持續下去,而創建後門用戶帳號,往往是比較可行的途徑。
1. 搜尋具備shell用戶的帳號, /etc/passwd
Panda.Guo@2018-04-18 11:34:31 $ cat /etc/passwd|awk -F: '{print $7}'| sort |uniq -c
3 /bin/bash
21 /bin/false
1 /bin/sync
17 /usr/sbin/nologin
Panda.Guo@2018-04-18 11:45:31 $ cat /etc/passwd | grep "bash"
root:x:0:0:root:/root:/bin/bash
panda:x:1000:1000:panda,,,:/home/panda:/bin/bash
itcast:x:2001:2001::/home/itcast:/bin/bash
Panda.Guo@2018-04-18 11:45:40 $
對其中有shell的用戶需要重點關注,本文假設itcast用戶為“需重點關照”用戶
2.進一步分析用戶itcast
3.查看用戶id和組信息:
Panda.Guo@2018-04-18 11:45:40 $ id itcast
uid=2001(itcast) gid=2001(itcast) group=2001(itcast)
查看用戶最近登錄信息
Panda.Guo@2018-04-18 11:51:33 $ lastlog -u itcast
Username Port From Latest
itcast pts/10 127.0.0.1 Thu Apr 12 19:03:20 +0800 2018
查看用戶歷史登錄信息: last hacker
Panda.Guo@2018-04-18 11:51:35 $ last itcast
itcast pts/10 127.0.0.1 Thu Apr 12 19:03 - 10:16 (15:12)
itcast pts/6 172.16.28.59 Thu Apr 12 16:03 - 16:03 (00:00)
itcast pts/6 172.16.28.59 Thu Apr 12 16:02 - 16:03 (00:00)
wtmp begins Sun Apr 1 23:41:17 2018
查看用戶登錄失敗信息:
Panda.Guo@2018-04-18 11:52:45 $ sudo lastb itcast
itcast ssh:notty 127.0.0.1 Thu Apr 12 19:03 - 19:03 (00:00)
itcast ssh:notty 172.16.28.59 Thu Apr 12 16:03 - 16:03 (00:00)
btmp begins Tue Apr 3 09:20:30 2018
Panda.Guo@2018-04-18 11:52:49 $
查看綜合信息: finger hacker
Panda.Guo@2018-04-18 11:53:20 $ finger itcast
Login: itcast Name:
Directory: /home/itcast Shell: /bin/bash
Last login Thu Apr 12 19:03 (CST) on pts/10 from 127.0.0.1
No mail.
No Plan.
如果itcast用戶登錄有異常的IP登錄, 則需重點關注
3.2 可提權用戶(sudo)
Debian系統允許普通用戶通過sudo來獲取root用戶權限, 因此對於已經存在的普通用戶,如果其在/etc/sudoers或者/etc/sudoers.d/下的文件中, 則表示此普通用戶可以通過sudo來完成root操作, 需要特別關注。
另可以通過命令groups itcast(其中itcast指代需要關注的用戶username), 如果該用戶所屬的組是root或者 sudo組,或者該用戶在/etc/sudoers(包括/etc/sudoer.d/目錄), 那就需要重點關注了。
3.3 開機自啟服務
不同的Linux發行版,採用的服務管理器是不同的, Debian 8以上已經採用Systemd作為服務器管理器,其實目前較新的發行版系統上多在採用systemd。本次我們以Systemd為例來分析開機自起的一些程序。
對於systemd服務管理器來說,可以通過下述方式查看開機自啟的服務:
Panda.Guo@2018-04-18 15:25:23 $ systemctl list-unit-files --type=service | grep "enabled"
accounts-daemon.service enabled
anacron.service enabled
auditd.service enabled
[email protected] enabled
。。。
入侵後,留下一些開機自起的服務,以便後續繼續入侵。也是入侵保持持久性的一種手段。
3.4 計劃(定時)任務
除了開機自啟動服務外, Debian還可以通過計劃任務來進行持久化運行。
檢查異常的計劃任務相對簡單:
只需要查看/etc/crontab以及子目錄下/etc/cron.*的計劃任務文件即可.
3.5 shell的初始化
不同的Linux發行版的默認shell是不一致的, 一般debian系統默認是dash, 而我自己偏愛bash, 一般系統安裝完成後,我會調整我的shell為bash, 本節以bash為例進行描述。
對於shell來說,可分為交互shell/非交互shell、 登錄shell和非登錄shell。本質上就是在shell啟動期間,默認執行的配置文件不同而已。 關於這塊的詳細區別,可參考man bash 中的INVOCATION章節。或者參考下圖:
簡單分析如下:
非交互/非登錄shell: $BASh_ENV(環境變量)
非交互/登錄shell:/etc/profile ($HOME/.bash_profile、$HOME/.bash_login、$HOME/.profile按次序先存在的執行)
交互/非登錄shell: /etc/bash_bashrc、$HOME/.bashrc
交互/登錄shell:/etc/profile ($HOME/.bash_profile、$HOME/.bash_login、$HOME/.profile按次序先存在的執行)
上面描述的比較複雜。簡單說,就是bash在啟動時,要執行幾個腳本文件。 這些文件中如果有命令,在某種情況下(登錄非登錄、交互非交互)可能會被執行。 入侵分析的重點就是查看這些文件中是否存在可疑命令。
3.6 歷史命令
一般而言, 入侵者獲取shell之後會在上面執行某些命令, 我們可以通過history命令來查看曾經運行過的命令.或者直接查看~/.bash_history文件. 高明的入侵者完成入侵後,也會進行某些掩蹤滅跡。 因此, 如果發現曾經運行過的命令中有一些可疑命令(莫名奇妙的命令),或者發現history被惡意清除,或者被異常篡改, 這也是我們常用的入侵分析技術。
和history命令相關有幾個環境變量,需要我們特別關注,詳情可通過man bash 查看
HISTFILE: 保存歷史命令的文件, 默認是 ~/.bash_history
HISTFILESIZE: 歷史文件中包含的最大行數。
HISTSIZE: 命令歷史中保存的命令數量行數。
HISTTIMEFORMAT: 保存歷史命令的時間格式。
3.7 系統日誌
在debian9上,系統日誌統一由rsyslog進程產生, 和rsyslog相關的配置可參考/etc/rsyslog.conf文件以及/etc/rsyslog.d/目錄。
登錄相關信息
查看每個用戶最近的登錄時間和ip: lastlog
查看每個用戶的登錄記錄: last
查看每個用戶的登錄嘗試(包括失敗的)記錄: lastb
查看當前登錄的用戶,ip以及正在執行的命令: w
一些常見的系統日誌介紹如下:
/var/log/messages: 一般的系統日誌
/var/log/kern.log: 系統內核日誌
/var/log/boot.log: 系統啟動日誌
/var/log/auth.log: 登錄相關的日誌, 比如ssh/sudo成功失敗的日誌都在這裡
/var/log/cron.d: cron計劃任務的執行日誌
審計, 審計日誌由auditd產生,/etc/audit/auditd.conf為審計配置文件,/etc/audit/audit.rules 為審計規則文件。
/var/log/audit/* : 為審計記錄,可以進一步分析,也許可以發現一些意想不到的痕跡(如果有的話).
3.8 可疑進程
一般可通過top命令查看正在運行的程序所佔用的資源, 或者用ps aux列出當前系統所用的進程. 如果發現可疑進程(沒見過、耗資源), 可以用以下命令進一步:
查看該進程啟動的完整命令行: ps eho command -p $PID
查看該進程啟動時候所在的目錄: readlink /proc/$PID/cwd
查看該進程啟動時的完整環境變量: strings -f /proc/$PID/environ | cut -f2 -d ‘ ‘
列出該進程所打開的所有文件: lsof -p $PID
如果某個可疑進程正在活動,一般會與外界有網絡交互,可通過如下方法進一步分析:
查看當前主機的網絡連接情況, netstat -apn | grep $PID
抓包分析,tcpdump 或者 使用圖形化抓包工具wireshark
查看主機防火牆iptables, DNS(/etc/resolv.conf和/etc/resolvconf/)、http代理,或者/etc/hosts, 都可能會導致我們正常的網絡請求被攻擊者監聽並篡改. 這些小小的修改也許不是很明顯,可一旦發現自身網絡環境’不太對勁’, 就要提高警惕, 仔細排查了.
4.小結
我們研究入侵分析,從“攻”的角度來說,是為了在“實施攻擊”後,在“掩蹤滅跡”中做的更加徹底,更便於我們攻擊的持久性, 從“防”的角度來說, 我瞭解主機系統被入侵後,知道在哪些地方會留下痕跡,通過收集這些入侵痕跡,結合大數據的分析技術來繪製入侵者的攻擊路線圖。以便更好的防護。
閱讀更多 黑馬程序員 的文章
