一次LINUX服务器检查.docVIP

一次LINUX服务器检查 11月23号 接到龚经理电话，怀疑服务器7遭受攻击。 第一步：ssh登录服务器，先看下登录情况： [root@pui log]# w 16:14:06 up 19 days, 13:49, 5 users, load average: 0.00, 0.00, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root :0 - 04Nov09 ?xdm? 17:22 0.22s /usr/bin/gnome-session root pts/1 :0.0 15:05 37:56 0.02s 0.02s bash root pts/3 57 15:31 0.00s 0.03s 0.00s w root pts/4 6 16:14 2.00s 0.00s 0.00s -bash root pts/2 57 15:52 5:55 0.01s 0.01s –bash 第一个应该是图像化界面，这个通过查看inittab可以确认。 标红部分有点可疑，查看登录时间发现： root pts/1 :0.0 Mon Nov 23 15:05 still logged in 一般来说，如果用户是远程ssh登录的，那边我们可以看到他的地址。当然也有例外的情况，用户可以通过特定的参数隐藏自己的IP。 既然觉得可疑，就先看下和他相关的进程： [root@pui log]# ps -ef UID PID PPID C STIME TTY TIME CMD 厖 oroot 837 1 0 Nov05 ? 00:00:07 bash root 20567 1 0 15:05 ? 00:00:00 /usr/bin/gnome-terminal root 20569 1 0 15:05 ? 00:00:00 /usr/libexec/gconfd-2 14 root 20571 1 0 15:05 ? 00:00:00 /usr/libexec/bonobo-activation-server --ac-activate --ior-output-fd=18 root 20573 20567 0 15:05 ? 00:00:00 gnome-pty-helper root 20574 20567 0 15:05 pts/1 00:00:00 bash 厖 tPts/1应该是开启了一个图形化桌面终端。注意这里的837对应的进程。 我们再看下网络连接： [root@pui log]# netstat -anp tcp 0 0 7:56328 30:6667 ESTABLISHED 837/bash tcp 0 0 7:56459 30:6667 ESTABLISHED 837/bash tcp 0 0 7:55935 30:6667 ESTABLISHED 837/bash 887进程号对应的网络地址非常可疑，网上查了下，30为美国的地址。 接下来我们还可以看下887进程的详细信息： [root@pui ~]# lsof -p 837 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 837 root cwd DIR 0,16 620 343963 /dev/shm/allemech bash 837 root rtd DIR 8,8 4096 2 / bash 837 root txt REG 0,16 492135 343965 /dev/shm/allemech/bash bash 837 root mem REG 8,8 47404 244370 /lib/libnss_files-2.3