个人备案网站做企业网可以吗,怎么做跨境电商开店,关于网站建设的参考文献,建设网站与维护敏感目录
Linux系统铭感目录如下。
/tmp
/tmp目录和命令目录/usr/bin /usr/sbin等经常作为恶意软件下载根目录及相关文件被替换的目录。文件名为crloger8的木马下载到/tmp目录下#xff0c;如图所示
~/.ssh及/etc/ssh
需要查看是否存在.ssh或者ssh文件 ls -la /home/on…敏感目录
Linux系统铭感目录如下。
/tmp
/tmp目录和命令目录/usr/bin /usr/sbin等经常作为恶意软件下载根目录及相关文件被替换的目录。文件名为crloger8的木马下载到/tmp目录下如图所示
~/.ssh及/etc/ssh
需要查看是否存在.ssh或者ssh文件 ls -la /home/once
这两个文件也经常作为一下后门配置的路径需要重点检查如图所示可以看到后门的账号和密码
时间点查找
find命令
通过列出工具日期内变动的文件可发现相关的恶意软件。通过【find】命令可对某一段时间段内增加的文件进行查找。以下为常用的【find】命令。find在指定目录下查找文件 -type b/d/c/p/l/f查找块设备、目录、字符设备、管道、符号链接、普通文件。-mtime -n n按文件更改时间来查找文件-n指n天以内n指n天前。-atime -n n按文件访问时间来查找文件-n指n天以内n指n天前。-ctime -n n 按文件创建时间来查找文件-n指n天以内n指n天前。使用命令【find / -ctime 0 -name *.sh】可查找一天内新增的sh文件如图所示
在查看指定目录时也可以对文件时间进行排序图中是使用命令【ls -alt | head -n 10】查看排序后前10行的内容。 对文件的创建时间、修改时间、访问时间进行排查
使用【stat】命令可以详细查看文件的创建时间、修改时间、访问时间若修改时间距离应急响应事件日期接近有线性关联说明可能被篡改。使用【stat commandi.php】命令查询文件commandi.php的时间信息如图所示 特殊文件
Linux系统中的恶意文件存在特定的设置、特定的关键字信息等。Linux系统中的几种特殊文件类型可以按照以下方法进行排查。
特殊权限文件
查找777权限的文件使用命令【find /tmp -perm 777】,可发现存在三个文件 webshell查找
webshell的排查可以通过分析文件、流量、日志进行基于文件的命名特征和内容特征相对操作性较高。通过分析文件的方法进行查找可以从webshell中常出现的一些关键字着手对文件进行筛选缩小排查的范围。如使用如图所示的语句其中【find /var/www/ -name *.php】命令是查找“/var/www”目录下的所有php文件【xargs egrep】及之后的命令是查询php文件是否包含后面的关键字。 除了初筛的方法还可以使用findWebshell、Scan_Webshell.py等进行扫描排查。
系统命令进行排查 ls ps
对系统命令进行排查。【ls】和【ps】等命令很有可能被工具者恶意替换所以可以使用【ls -alt /bin】命令查看命令目录中相关系统命令的修改时间从而进行排查如图所示。 也可以使用【ls -alh /bin】命令查看相关文件的大小若明显偏大则文件很有可能被替换如图所示。 Linux后门检测
可以使用第三方查杀工具如chkrootkit、rkhunter进行查杀。chkrootkit工具用来监测rootkit是否被安装到当前系统中。rookit是攻击者经常使用的后门程序。这类后门程序通常非常隐秘、不易被察觉植入后等于为攻击者建立了一条能够长时间入侵系统或可对系统进行实时控制的途径。因此使用chkrootkit工具可定时监测系统以保证系统的安全。 若使用chkrootkit时若出现infected则说明检测出系统后门若未出现则说明未检出出系统后门如图所示。也可以使用【chkrootkit -q | grep INFECTED】命令检测并筛选出存在infected的内容。 使用rkhunter可以进行系统命令Binary监测包括MD5校验、rootkit检测、本机敏感目录检测、系统配置检测、服务及套件异常检测、第三方应用版本检测等。排查情况如图所示。
排查SUID程序
即对于一些设置了SUID权限的程序进行排查可以使用【find / -type f -perm -04000 -ls -uid 0 2/dev/null】命令如图所示。
