Threat Hunting - ITProSec Resources Forum https://itprosec.com/community/threat-hunting/ ITProSec Resources Discussion Board en-US Wed, 03 Jun 2026 23:02:33 +0000 wpForo 60 Linux服务器巡检脚本 & 检测系统是否被入侵 https://itprosec.com/community/threat-hunting/linux%e6%9c%8d%e5%8a%a1%e5%99%a8%e5%b7%a1%e6%a3%80%e8%84%9a%e6%9c%ac-%e6%a3%80%e6%b5%8b%e7%b3%bb%e7%bb%9f%e6%98%af%e5%90%a6%e8%a2%ab%e5%85%a5%e4%be%b5/ Fri, 14 Jun 2024 14:42:18 +0000

多时候我们需要进行服务器巡查,但是每台服务器都去检查有点费时费力。不想写了,直接看图吧

#!/bin/bash
#参数定义
date=`date +"%Y-%m-%d-%H:%M:%S"`
centosVersion=$(awk '{print $(NF-1)}' /etc/redhat-release)
VERSION=`date +%F`
#日志相关
LOGPATH="/tmp/awr"
 || mkdir -p $LOGPATH
RESULTFILE="$LOGPATH/HostCheck-`hostname`-`date +%Y%m%d`.txt"

#调用函数库
 && source /etc/init.d/functions
export PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
source /etc/profile


#root用户执行脚本
 && echo "请用root用户执行此脚本!" && exit 1

 
function version(){
    echo ""
    echo ""
    echo " >>> `hostname -s` 主机巡检"
}


function getSystemStatus(){
    echo ""
    echo -e "\033[33m****************************************************系统检查****************************************************\033[0m"
    if ;then
        default_LANG="$(grep "LANG=" /etc/sysconfig/i18n | grep -v "^#" | awk -F '"' '{print $2}')"
    else
        default_LANG=$LANG
    fi
    export LANG="en_US.UTF-8"
    Release=$(cat /etc/redhat-release 2>/dev/null)
    Kernel=$(uname -r)
    OS=$(uname -o)
    Hostname=$(uname -n)
    SELinux=$(/usr/sbin/sestatus | grep "SELinux status: " | awk '{print $3}')
    LastReboot=$(who -b | awk '{print $3,$4}')
    uptime=$(uptime | sed 's/.*up \(*\), .*/\1/')
    echo "     系统:$OS"
    echo " 发行版本:$Release"
    echo "     内核:$Kernel"
    echo "   主机名:$Hostname"
    echo "  SELinux:$SELinux"
    echo "语言/编码:$default_LANG"
    echo " 当前时间:$(date +'%F %T')"
    echo " 最后启动:$LastReboot"
    echo " 运行时间:$uptime"
    export LANG="$default_LANG"
}

function getCpuStatus(){
    echo ""
    echo -e "\033[33m****************************************************CPU检查*****************************************************\033[0m"
    Physical_CPUs=$(grep "physical id" /proc/cpuinfo| sort | uniq | wc -l)
    Virt_CPUs=$(grep "processor" /proc/cpuinfo | wc -l)
    CPU_Kernels=$(grep "cores" /proc/cpuinfo|uniq| awk -F ': ' '{print $2}')
    CPU_Type=$(grep "model name" /proc/cpuinfo | awk -F ': ' '{print $2}' | sort | uniq)
    CPU_Arch=$(uname -m)
    echo "物理CPU个数:$Physical_CPUs"
    echo "逻辑CPU个数:$Virt_CPUs"
    echo "每CPU核心数:$CPU_Kernels"
    echo "    CPU型号:$CPU_Type"
    echo "    CPU架构:$CPU_Arch"
}

function getMemStatus(){
    echo ""
    echo  -e "\033[33m**************************************************内存检查*****************************************************\033[0m"
    if [];then
        free -mo
    else
        free -h
    fi
    #报表信息
    MemTotal=$(grep MemTotal /proc/meminfo| awk '{print $2}')  #KB
    MemFree=$(grep MemFree /proc/meminfo| awk '{print $2}')    #KB
    let MemUsed=MemTotal-MemFree
    MemPercent=$(awk "BEGIN {if($MemTotal==0){printf 100}else{printf \"%.2f\",$MemUsed*100/$MemTotal}}") 
}

function getDiskStatus(){
    echo ""
    echo -e "\033[33m**************************************************磁盘检查******************************************************\033[0m"
    df -hiP | sed 's/Mounted on/Mounted/'> /tmp/inode
    df -hTP | sed 's/Mounted on/Mounted/'> /tmp/disk 
    join /tmp/disk /tmp/inode | awk '{print $1,$2,"|",$3,$4,$5,$6,"|",$8,$9,$10,$11,"|",$12}'| column -t
    #报表信息
    diskdata=$(df -TP | sed '1d' | awk '$2!="tmpfs"{print}') #KB
    disktotal=$(echo "$diskdata" | awk '{total+=$3}END{print total}') #KB
    diskused=$(echo "$diskdata" | awk '{total+=$4}END{print total}')  #KB
    diskfree=$((disktotal-diskused)) #KB
    diskusedpercent=$(echo $disktotal $diskused | awk '{if($1==0){printf 100}else{printf "%.2f",$2*100/$1}}') 
    inodedata=$(df -iTP | sed '1d' | awk '$2!="tmpfs"{print}')
    inodetotal=$(echo "$inodedata" | awk '{total+=$3}END{print total}')
    inodeused=$(echo "$inodedata" | awk '{total+=$4}END{print total}')
    inodefree=$((inodetotal-inodeused))
    inodeusedpercent=$(echo $inodetotal $inodeused | awk '{if($1==0){printf 100}else{printf "%.2f",$2*100/$1}}')
}



function get_resource(){
    echo ""
    echo -e "\033[33m**************************************************资源消耗统计**************************************************\033[0m"

    echo -e "\033[36m*************带宽资源消耗统计*************\033[0m"
    #用数组存放网卡名
    nic=(`ifconfig | grep ^ | grep -vE 'lo|docker0'| awk -F: '{print $1}'`)
    time=`date "+%Y-%m-%d %k:%M"`
    num=0
    
    for ((i=0;i<${#nic};i++))
    do
       #循环五次,避免看到的是偶然的数据
       while (( $num<5 ))
       do
         rx_before=$(cat /proc/net/dev | grep '${nic}' | tr : " " | awk '{print $2}')
         tx_before=$(cat /proc/net/dev | grep '${nic}' | tr : " " | awk '{print $10}')
         sleep 2
         #用sed先获取第7列,再用awk获取第2列,再cut切割,从第7个到最后,即只切割网卡流量数字部分
         rx_after=$(cat /proc/net/dev | grep '${nic}' | tr : " " | awk '{print $2}')
         tx_after=$(cat /proc/net/dev | grep '${nic}' | tr : " " | awk '{print $10}')
         #注意下面截取的相差2秒的两个时刻的累计和发送的bytes(即累计传送和接收的位)
         rx_result=$
         tx_result=$
         echo  "$time Now_In_Speed: $rx_result Mbps  Now_OUt_Speed: $tx_result Mbps" >> /tmp/network.txt
         let "num++"
       done
       #注意下面grep后面的$time变量要用双引号括起来
       rx_result=$(cat /tmp/network.txt|grep "$time"|awk '{In+=$4}END{print In}')
       tx_result=$(cat /tmp/network.txt|grep "$time"|awk '{Out+=$7}END{print Out}')
       In_Speed=$(echo "scale=2;$rx_result/5"|bc)
       Out_Speed=$(echo "scale=2;$tx_result/5"|bc)
       echo -e  "\033[32m In_Speed_average: $In_Speed Mbps Out_Speed_average: $Out_Speed Mbps! \033[0m" 
    done


    echo -e "\033[36m*************CPU资源消耗统计*************\033[0m"

    #使用vmstat 1 5命令统计5秒内的使用情况,再计算每秒使用情况
    total=`vmstat 1 5|awk '{x+=$13;y+=$14}END{print x+y}'`
    cpu_average=$(echo "scale=2;$total/5"|bc)
    
    #判断CPU使用率(浮点数与整数比较)
    if ;then
        echo -e  "\033[31m Total CPU is already use: ${cpu_average}%,请及时处理!\033[0m" 
    else 
        echo -e  "\033[32m Total CPU is already use: ${cpu_average}%! \033[0m" 
    fi


    echo -e "\033[36m*************磁盘资源消耗统计*************\033[0m"
    #磁盘使用情况(注意:需要用sed先进行格式化才能进行累加处理)
    disk_used=$(df -m | sed '1d;/ /!N;s/\n//;s/ \+/ /;' | awk '{used+=$3} END{print used}')
    disk_totalSpace=$(df -m | sed '1d;/ /!N;s/\n//;s/ \+/ /;' | awk '{totalSpace+=$2} END{print totalSpace}')
    disk_all=$(echo "scale=4;$disk_used/$disk_totalSpace" | bc)
    disk_percent1=$(echo $disk_all | cut -c 2-3)
    disk_percent2=$(echo $disk_all | cut -c 4-5)
    disk_warning=`df -m | sed '1d;/ /!N;s/\n//;s/ \+/ /;' | awk '{if ($5>85) print $6 "目录使用率:" $5;} '`
    
    echo -e  "\033[32m Total disk has used: $disk_percent1.$disk_percent2% \033[0m" 
    #echo -e "\t\t.." 表示换行
    if ;then
        echo -e "\033[31m${disk_warning} \n 以上目录使用率超过85%,请及时处理!\033[0m" 
    fi
    
    echo -e "\033[36m*************内存资源消耗统计*************\033[0m"
    
    #获得系统总内存
    memery_all=$(free -m | awk 'NR==2' | awk '{print $2}')
    #获得占用内存(操作系统 角度)
    system_memery_used=$(free -m | awk 'NR==2' | awk '{print $3}')
    #获得buffer、cache占用内存,当内存不够时会及时回收,所以这两部分可用于可用内存的计算
    buffer_used=$(free -m | awk 'NR==2' | awk '{print $6}')
    cache_used=$(free -m | awk 'NR==2' | awk '{print $7}')
    #获得被使用内存,所以这部分可用于可用内存的计算,注意计算方法
    actual_used_all=$
    #获得实际占用的内存
    actual_used_all=`expr $memery_all - $free + $buffer_used + $cache_used `
    memery_percent=$(echo "scale=4;$system_memery_used / $memery_all" | bc)
    memery_percent2=$(echo "scale=4; $actual_used_all / $memery_all" | bc)
    percent_part1=$(echo $memery_percent | cut -c 2-3)
    percent_part2=$(echo $memery_percent | cut -c 4-5)
    percent_part11=$(echo $memery_percent2 | cut -c 2-3)
    percent_part22=$(echo $memery_percent2 | cut -c 4-5)
    
    #获得占用内存(操作系统角度)
    echo -e "\033[32m system memery is already use: $percent_part1.$percent_part2% \033[0m"
    #获得实际内存占用率
    echo -e "\033[32m actual memery is already use: $percent_part11.$percent_part22% \033[0m"
    echo -e "\033[32m buffer is already used : $buffer_used M \033[0m"
    echo -e "\033[32m cache is already used : $cache_used M \033[0m"
}



function getServiceStatus(){
    echo ""
    echo -e "\033[33m*************************************************服务检查*******************************************************\033[0m"
    echo ""
    if [];then
        conf=$(systemctl list-unit-files --type=service --state=enabled --no-pager | grep "enabled")
        process=$(systemctl list-units --type=service --state=running --no-pager | grep ".service")      
    else
        conf=$(/sbin/chkconfig | grep -E ":on|:启用")
        process=$(/sbin/service --status-all 2>/dev/null | grep -E "is running|正在运行")        
    fi
    echo -e "\033[36m******************服务配置******************\033[0m"
    echo "$conf"  | column -t
    echo ""
    echo -e "\033[36m**************正在运行的服务****************\033[0m"
    echo "$process"
}


function getAutoStartStatus(){
    echo ""
    echo -e "\033[33m***********************************************自启动检查*******************************************************\033[0m"
    echo -e "\033[36m****************自启动命令*****************\033[0m"
    conf=$(grep -v "^#" /etc/rc.d/rc.local| sed '/^$/d')
    echo "$conf"  
}


function getLoginStatus(){
    echo ""
    echo -e "\033[33m************************************************登录检查********************************************************\033[0m"
    last | head 
}

function getNetworkStatus(){
    echo ""
    echo -e "\033[33m************************************************网络检查********************************************************\033[0m"
    if [];then
        /sbin/ifconfig -a | grep -v packets | grep -v collisions | grep -v i
        net6
    else
        #ip a
        for i in $(ip link | grep BROADCAST | awk -F: '{print $2}');do ip add show $i | grep -E "BROADCAST|global"| awk '{print $2}' | tr '\n' ' ' ;echo "" ;done
    fi
    GATEWAY=$(ip route | grep default | awk '{print $3}')
    DNS=$(grep nameserver /etc/resolv.conf| grep -v "#" | awk '{print $2}' | tr '\n' ',' | sed 's/,$//')
    echo ""
    echo "网关:$GATEWAY "
    echo "DNS:$DNS"
    #报表信息
    IP=$(ip -f inet addr | grep -v 127.0.0.1 |  grep inet | awk '{print $NF,$2}' | tr '\n' ',' | sed 's/,$//')
    MAC=$(ip link | grep -v "LOOPBACK\|loopback" | awk '{print $2}' | sed 'N;s/\n//' | tr '\n' ',' | sed 's/,$//')
    echo ""
ping -c 4 www.baidu.com >/dev/null 2>&1
if ;then
   echo ""
   echo -e "\033[32m网络连接:正常!\033[0m" 
else
   echo ""
   echo -e "\033[31m网络连接:异常!\033[0m" 
fi 
}


function getListenStatus(){
    echo ""
    echo  -e "\033[33m***********************************************监听检查********************************************************\033[0m"
    TCPListen=$(ss -ntul | column -t)
    echo "$TCPListen"
}


function getCronStatus(){
    echo ""
    echo -e "\033[33m**********************************************计划任务检查******************************************************\033[0m"
    Crontab=0
    for shell in $(grep -v "/sbin/nologin" /etc/shells);do
        for user in $(grep "$shell" /etc/passwd| awk -F: '{print $1}');do
            crontab -l -u $user >/dev/null 2>&1
            status=$?
            if ;then
                echo -e "\033[36m************$user用户的定时任务**************\033[0m"
                crontab -l -u $user
                let Crontab=Crontab+$(crontab -l -u $user | wc -l)
                echo ""
            fi
        done
    done
    #计划任务
    #find /etc/cron* -type f | xargs -i ls -l {} | column  -t
    #let Crontab=Crontab+$(find /etc/cron* -type f | wc -l) 
}


function getHowLongAgo(){
    # 计算一个时间戳离现在有多久了
    datetime="$*"
     && echo `stat /etc/passwd|awk "NR==6"`
    Timestamp=$(date +%s -d "$datetime")  
    Now_Timestamp=$(date +%s)
    Difference_Timestamp=$(($Now_Timestamp-$Timestamp))
    days=0;hours=0;minutes=0;
    sec_in_day=$((60*60*24));
    sec_in_hour=$((60*60));
    sec_in_minute=60
    while (( $(($Difference_Timestamp-$sec_in_day)) > 1 ))
    do
        let Difference_Timestamp=Difference_Timestamp-sec_in_day
        let days++
    done
    while (( $(($Difference_Timestamp-$sec_in_hour)) > 1 ))
    do
        let Difference_Timestamp=Difference_Timestamp-sec_in_hour
        let hours++
    done
    echo "$days$hours 小时前"
}


function getUserLastLogin(){
    # 获取用户最近一次登录的时间,含年份
    # 很遗憾last命令不支持显示年份,只有"last -t YYYYMMDDHHMMSS"表示某个时间之间的登录,我
    # 们只能用最笨的方法了,对比今天之前和今年元旦之前(或者去年之前和前年之前……)某个用户
    # 登录次数,如果登录统计次数有变化,则说明最近一次登录是今年。
    username=$1
    : ${username:="`whoami`"}
    thisYear=$(date +%Y)
    oldesYear=$(last | tail -n1 | awk '{print $NF}')
    while(( $thisYear >= $oldesYear));do
        loginBeforeToday=$(last $username | grep $username | wc -l)
        loginBeforeNewYearsDayOfThisYear=$(last $username -t $thisYear"0101000000" | grep $username | wc -l)
        if ;then
            echo "从未登录过"
            break
        elif ;then
            lastDateTime=$(last -i $username | head -n1 | awk '{for(i=4;i<(NF-2);i++)printf"%s ",$i}')" $thisYear" 
            lastDateTime=$(date "+%Y-%m-%d %H:%M:%S" -d "$lastDateTime")
            echo "$lastDateTime"
            break
        else
            thisYear=$((thisYear-1))
        fi
    done
}


function getUserStatus(){
    echo ""
    echo -e "\033[33m*************************************************用户检查*******************************************************\033[0m"
    #/etc/passwd 最后修改时间
    pwdfile="$(cat /etc/passwd)"
    Modify=$(stat /etc/passwd | grep Modify | tr '.' ' ' | awk '{print $2,$3}')
    echo "/etc/passwd: $Modify ($(getHowLongAgo $Modify))"
    echo ""
    echo -e "\033[36m******************特权用户******************\033[0m"
    RootUser=""
    for user in $(echo "$pwdfile" | awk -F: '{print $1}');do
        if ;then
            echo "$user"
            RootUser="$RootUser,$user"
        fi
    done
    echo ""
    echo -e "\033[36m******************用户列表******************\033[0m"
    USERs=0
    echo "$(
    echo "用户名 UID GID HOME SHELL 最后一次登录"
    for shell in $(grep -v "/sbin/nologin" /etc/shells);do
        for username in $(grep "$shell" /etc/passwd| awk -F: '{print $1}');do
            userLastLogin="$(getUserLastLogin $username)"
            echo "$pwdfile" | grep -w "$username" |grep -w "$shell"| awk -F: -v lastlogin="$(echo "$userLastLogin" | tr ' ' '_')" '{print $1,$3,$4,$6,$7,lastlogin}'
        done
        let USERs=USERs+$(echo "$pwdfile" | grep "$shell"| wc -l)
    done
    )" | column -t
    echo ""
    echo -e "\033[36m******************空密码用户****************\033[0m"
    USEREmptyPassword=""
    for shell in $(grep -v "/sbin/nologin" /etc/shells);do
            for user in $(echo "$pwdfile" | grep "$shell" | cut -d: -f1);do
            r=$(awk -F: '$2=="!!"{print $1}' /etc/shadow | grep -w $user)
            if ;then
                echo $r
                USEREmptyPassword="$USEREmptyPassword,"$r
            fi
        done    
    done
    echo ""
    echo -e "\033[36m*****************相同ID用户*****************\033[0m"
    USERTheSameUID=""
    UIDs=$(cut -d: -f3 /etc/passwd | sort | uniq -c | awk '$1>1{print $2}')
    for uid in $UIDs;do
        echo -n "$uid";
        USERTheSameUID="$uid"
        r=$(awk -F: 'ORS="";$3=='"$uid"'{print ":",$1}' /etc/passwd)
        echo "$r"
        echo ""
        USERTheSameUID="$USERTheSameUID $r,"
    done 
}


function getPasswordStatus {
    echo ""
    echo -e "\033[33m*************************************************密码检查*******************************************************\033[0m"
    pwdfile="$(cat /etc/passwd)"
    echo ""
    echo -e "\033[36m****************密码过期检查****************\033[0m"
    result=""
    for shell in $(grep -v "/sbin/nologin" /etc/shells);do
        for user in $(echo "$pwdfile" | grep "$shell" | cut -d: -f1);do
            get_expiry_date=$(/usr/bin/chage -l $user | grep 'Password expires' | cut -d: -f2)
            if [];then
                printf "%-15s 永不过期\n" $user
                result="$result,$user:never"
            else
                password_expiry_date=$(date -d "$get_expiry_date" "+%s")
                current_date=$(date "+%s")
                diff=$(($password_expiry_date-$current_date))
                let DAYS=$(($diff/(60*60*24)))
                printf "%-15s %s天后过期\n" $user $DAYS
                result="$result,$user:$DAYS days"
            fi
        done
    done
    report_PasswordExpiry=$(echo $result | sed 's/^,//')
    echo ""
    echo -e "\033[36m****************密码策略检查****************\033[0m"
    grep -v "#" /etc/login.defs | grep -E "PASS_MAX_DAYS|PASS_MIN_DAYS|PASS_MIN_LEN|PASS_WARN_AGE"
}


function getSudoersStatus(){
    echo ""
    echo -e "\033[33m**********************************************Sudoers检查*******************************************************\033[0m"
    conf=$(grep -v "^#" /etc/sudoers| grep -v "^Defaults" | sed '/^$/d')
    echo "$conf"
    echo ""
}


function getInstalledStatus(){
    echo ""
    echo -e "\033[33m*************************************************软件检查*******************************************************\033[0m"
    rpm -qa --last | head | column -t 
}


function getProcessStatus(){
    echo ""
    echo -e "\033[33m*************************************************进程检查*******************************************************\033[0m"
    if ;then
        echo ""
        echo -e "\033[36m***************僵尸进程***************\033[0m"
        ps -ef | head -n1
        ps -ef | grep defunct | grep -v grep
    fi
    echo ""
    echo -e "\033[36m************CPU占用TOP 10进程*************\033[0m"
    echo -e "用户 进程ID %CPU 命令 
    $(ps aux | awk '{print $1, $2, $3, $11}' | sort -k3rn | head -n 10 )"| column -t 
    echo ""
    echo -e "\033[36m************内存占用TOP 10进程*************\033[0m"
    echo -e "用户 进程ID %MEM 虚拟内存  常驻内存 命令 
    $(ps aux | awk '{print $1, $2, $4, $5, $6, $11}' | sort -k3rn | head -n 10 )"| column -t 
    #echo ""
    #echo -e "\033[36m************SWAP占用TOP 10进程*************\033[0m"
    #awk: fatal: cannot open file `/proc/18713/smaps' for reading (No such file or directory)
    #for i in `cd /proc;ls |grep "^"|awk ' $0 >100'`;do awk '{if (-f /proc/$i/smaps) print "$i file is not exist"; else print "$i"}';done
    #    for i in `cd /proc;ls |grep "^"|awk ' $0 >100'` ;do awk '/Swap:/{a=a+$2}END{print '"$i"',a/1024"M"}' /proc/$i/smaps ;done |sort -k2nr > /tmp/swap.txt
    #echo -e "进程ID SWAP使用 $(cat /tmp/swap.txt|grep -v awk | head -n 10)"| column -t
}



function getSyslogStatus(){
    echo ""
    echo -e "\033[33m***********************************************syslog检查*******************************************************\033[0m"
    echo "SYSLOG服务状态:$(getState rsyslog)"
    echo ""
    echo -e "\033[36m***************rsyslog配置******************\033[0m"
    cat /etc/rsyslog.conf 2>/dev/null | grep -v "^#" | grep -v "^\\$" | sed '/^$/d'  | column -t
}


function getFirewallStatus(){
    echo ""
    echo -e "\033[33m***********************************************防火墙检查*******************************************************\033[0m"

    echo -e "\033[36m****************防火墙状态******************\033[0m"
    if [];then
        systemctl status firewalld >/dev/null  2>&1
        status=$?
        if ;then
                s="active"
        elif ;then
                s="inactive"
        elif ;then
                s="permission denied"
        else
                s="unknown"
        fi
    else
        s="$(getState iptables)"
    fi
    echo "firewalld: $s"
    echo ""
    echo -e "\033[36m****************防火墙配置******************\033[0m"
    cat /etc/sysconfig/firewalld 2>/dev/null
}


function getSNMPStatus(){
    #SNMP服务状态,配置等
    echo ""
    echo -e "\033[33m***********************************************SNMP检查*********************************************************\033[0m"
    status="$(getState snmpd)"
    echo "SNMP服务状态:$status"
    echo ""
    if ;then
        echo "/etc/snmp/snmpd.conf"
        echo "--------------------"
        cat /etc/snmp/snmpd.conf 2>/dev/null | grep -v "^#" | sed '/^$/d'
    fi
}


function getState(){
    if [];then
        if ;then
            if ;then
                r="active"
            else
                r="inactive"
            fi
        else
            r="unknown"
        fi
    else
        #CentOS 7+
        r="$(systemctl is-active $1 2>&1)"
    fi
    echo "$r"
}


function getSSHStatus(){
    #SSHD服务状态,配置,受信任主机等
    echo ""
    echo -e "\033[33m************************************************SSH检查*********************************************************\033[0m"
    #检查受信任主机
    pwdfile="$(cat /etc/passwd)"
    echo "SSH服务状态:$(getState sshd)"
    Protocol_Version=$(cat /etc/ssh/sshd_config | grep Protocol | awk '{print $2}')
    echo "SSH协议版本:$Protocol_Version"
    echo ""
    echo -e "\033[36m****************信任主机******************\033[0m"
    authorized=0
    for user in $(echo "$pwdfile" | grep /bin/bash | awk -F: '{print $1}');do
        authorize_file=$(echo "$pwdfile" | grep -w $user | awk -F: '{printf $6"/.ssh/authorized_keys"}')
        authorized_host=$(cat $authorize_file 2>/dev/null | awk '{print $3}' | tr '\n' ',' | sed 's/,$//')
        if ;then
            echo "$user 授权 \"$authorized_host\" 无密码访问"
        fi
        let authorized=authorized+$(cat $authorize_file 2>/dev/null | awk '{print $3}'|wc -l)
    done
    echo ""
    echo -e "\033[36m*******是否允许ROOT远程登录***************\033[0m"
    config=$(cat /etc/ssh/sshd_config | grep PermitRootLogin)
    firstChar=${config:0:1}
    if ;then
        PermitRootLogin="yes" 
    else
        PermitRootLogin=$(echo $config | awk '{print $2}')
    fi
    echo "PermitRootLogin $PermitRootLogin"
    echo ""
    echo -e "\033[36m*************ssh服务配置******************\033[0m"
    cat /etc/ssh/sshd_config | grep -v "^#" | sed '/^$/d'
}


function getNTPStatus(){
    #NTP服务状态,当前时间,配置等
    echo ""
    echo -e "\033[33m***********************************************NTP检查**********************************************************\033[0m"
    if ;then
        echo "NTP服务状态:$(getState ntpd)"
        echo ""
        echo -e "\033[36m*************NTP服务配置******************\033[0m"
        cat /etc/ntp.conf 2>/dev/null | grep -v "^#" | sed '/^$/d'
    fi
}


function check(){
    version
    getSystemStatus
    get_resource
    getCpuStatus
    getMemStatus
    getDiskStatus
    getNetworkStatus
    getListenStatus
    getProcessStatus
    getServiceStatus
    getAutoStartStatus
    getLoginStatus
    getCronStatus
    getUserStatus
    getPasswordStatus
    getSudoersStatus
    getFirewallStatus
    getSSHStatus
    getSyslogStatus
    getSNMPStatus
    getNTPStatus
    getInstalledStatus
}
#执行检查并保存检查结果
check > $RESULTFILE
echo -e "\033[44;37m 主机巡检结果存放在:$RESULTFILE   \033[0m"

#上传检查结果的文件
#curl -F "filename=@$RESULTFILE" "$uploadHostDailyCheckApi" 2>/dev/null
cat $RESULTFILE
 
https://blog.ossq.cn/2085.html
 
 

Linux检测系统是否被入侵

入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。

检测系统是否被入侵

查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

查找远程可以登录的账户

awk '/\$1|\$5|\$6/{print $1}' /etc/shadow

  • $1:MD5(长度 22个字符)
  • $5:SHA-256(长度 43 个字符)
  • $6:SHA-512(长度86 个字符)

检查sudo权限

cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL"
删除或锁定账号
通过上面的步骤可以找到可疑的账号

usermod -L rooot #禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel rooot #删除user用户
userdel -r rooot #将删除root用户,并且将/home目录下的root目录一并删除

查看当前登录系统的信息

who #查看当前登录用户(tty本地登陆 pts远程登录)
w #查看系统信息,想知道某一时刻用户的行为
uptime #查看登陆多久、多少用户,负载

检查异常端口

使用netstat 网络连接命令,分析可疑端口、IP、PID等信息。

netstat -tunlp | less

抓包分析

tcpdump -c 10 -q //精简模式显示 10个包

使用ps命令检查可疑的进程

ps -ef

查超系统中占用资源最高的资源

top

发现异常进一步检查

ps eho command -p $PID #查看该进程启动的完整命令行
readlink /proc/$PID/cwd #查看该进程启动时候所在的目录
ls -l /proc/$PID/exe #查看下pid所对应的进程文件路径
strings -f /proc/$PID/environ | cut -f2 -d #查看该进程启动时的完整环境变量:
lsof -p $PID #列出该进程所打开的所有文件

检查系统服务

Linux系统服务管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。

检查开机自启的服务

//对于systemd服务管理器来说,可以通过下述方式查看开机自启的服务
systemctl list-unit-files --type=service | grep "enabled"
//chkconfig就是CentOS6以前用来控制系统服务的工具,查看服务自启动状态
chkconfig --list | grep "3:on\|5:on"

检查启动项脚本

命令查看下开机启动项中是否有异常的启动服务。

cat /etc/rc.local

检查计划任务

利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
 

检查系统的异常文件

查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性

ls -al
查找1天以内被访问过的文件

find /opt -iname "*" -atime 1 -type f
-iname不区分大小写,-atime最近一次被访问的时间,-type文件类型

检查历史命令

查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件

默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。

设置保存1万条命令
sed -i 's/HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
history加固
vim /etc/profile

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's///g'`
if 
then
   USER_IP=`hostname`
fi

export HISTTIMEFORMAT="%F %T $USER_IP `whoami`"
 

为防止会话退出时覆盖其他会话写到HISTFILE的内容

shopt -s histappend
export PROMPT_COMMAND="history -a"
//配置生效
source /etc/profile

PROMPT_COMMAND是什么
PS1-PS4介绍了一些用于提示信息控制的环境变量,而在此之前可以进行回调的一个环境变量就是PROMPT_COMMAND,这个环境变量中设定的内容将在交互式脚本的提示(PS1)出现之前被执行。

检查系统日志

在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。常用日志文件如下:

/var/log/btmp
记录错误登录日志,这个文件是二进制文件,不能用vi直接查看,可以用lastb看

/var/log/lastlog
记录系统中所有用户最后一次成功登录系统的时间,这是一个二进制文件,不能用vi查看,可以用lastlog查看

/var/log/wtmp
永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。

/var/log/utmp
记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询。

/var/log/secure
记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

查找登录系统失败的20个账号
lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20
定位有多少IP在爆破主机的root帐号
grep "Failed password for root" /var/log/secure | sort | uniq -c | sort -nr | more
查看所有重启日志信息
last reboot
查看系统正常的运行时间
uptime -s
查看哪些IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25|2|??)\.(25|2|??)\.(25|2|??)\.(25|2|??)"|uniq -c
查看哪些IP登录成功了
grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的日期,用户名,IP
gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
希望本文对你有所帮助~~如果对软件测试、接口测试、自动化测试、性能测试、面试经验交流感兴趣可以私聊我

 
 
]]> Threat Hunting Sunny Heart https://itprosec.com/community/threat-hunting/linux%e6%9c%8d%e5%8a%a1%e5%99%a8%e5%b7%a1%e6%a3%80%e8%84%9a%e6%9c%ac-%e6%a3%80%e6%b5%8b%e7%b3%bb%e7%bb%9f%e6%98%af%e5%90%a6%e8%a2%ab%e5%85%a5%e4%be%b5/ 快速自检电脑是否被黑客入侵过 https://itprosec.com/community/threat-hunting/%e5%bf%ab%e9%80%9f%e8%87%aa%e6%a3%80%e7%94%b5%e8%84%91%e6%98%af%e5%90%a6%e8%a2%ab%e9%bb%91%e5%ae%a2%e5%85%a5%e4%be%b5%e8%bf%87/ Mon, 20 Dec 2021 02:50:59 +0000 我们经常会感觉电脑行为有点奇怪, 比如总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎自己"中毒"了,
但X60安全卫士或者X讯电脑管家扫描之后又说你电脑"非常安全", 那么有可能你已经被黑客光顾过了. 这种时候也许要专业的取证人员出场,
但似乎又有点小提大作. 因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过.

1. 异常的日志记录
通常我们需要检查一些可疑的事件记录, 比如:

複製代碼
 “Event log service was stopped.”(事件记录服务已经停止)
“Windows File Protection is not active on this system.”(Windows文件保护未开启)
“The protected System file was not restored to its original, valid version because of the Windows File Protection…”(受保护的系统文件XXX无法还原)
“The MS Telnet Service has started successfully.”(Telnet服务开启成功)


除此之外, 还可以看看有没有大量失败的登录日志或者被锁定的账户.

查看事件日志有两种方式:

1) 通过图形界面查看, 开始->运行 eventvwr.msc

2) 通过命令行查看, 主要是使用eventquery.vbs脚本:

C:> eventquery.vbs | more
或者只看某个条目下的日志:

C:> eventquery.vbs /L security
eventquery.vbs是使用可以查看命令行帮助或者微软的官方文档.

2. 异常的进程和服务
即在我们熟知的Windows任务管理器中查看是否有奇怪的进程在运行, 重点关注用户名是SYSTEM(系统)或者Administrator(管理员), 以及在管理员组的用户.
当然, 你最好能熟悉正常的进程和服务, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也不要紧, 对着任务管理器不认识的进程, 挨个google一遍也就能大概了解了.

查找异常进程
使用Ctrl+Alt+Del快捷键或者开始->运行taskmgr.exe打开任务管理器即可看到运行中的进程. 当然也可以使用命令行查看进程:

C:> tasklist
C:> wmic process list full
查找异常服务
1). 图形界面: 开始->运行 services.msc
2). 命令行:

C:> net start
C:> sc query

查找和每个进程关联的服务:

C:> tasklist /svc
3. 异常的文件和注册表
如果磁盘可用空间突然减小, 我们可以查找文件看是否有异常. 通过开始菜单依次点击:

开始->查找->文件或目录
然后设置查找选项, 比如文件大小大于10000KB, 或者创建/修改时间在一周以内, 并搜索相关文件.

对于注册表, 通常是查找自启动的注册点, 并检查对应的应用程序, 常见的启动点为:

複製代碼
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx


注: HKLM和HKCU分别是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的缩写.

查看注册表有两种方式:

1) 图形界面: 开始->运行 regedit.exe

2) 命令行reg query <key>, 例:

複製代碼
 C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run


当然除此之外还有很多注册点可以进行自启动, 这个在下面说.

4. 异常的计划任务
接下来是查看异常的计划任务, 重点关注那些以管理员组或者SYSTEM权限, 或者是以空白用户名定时启动的任务.

查看定时任务
1) 图形界面, 可以通过开始菜单搜索Task Scheduler打开, 或者:

开始->运行 taskschd.msc /s
2) 命令行输出计划任务:

C:> schtasks
查看自启动程序
1) 图形界面, 开始->运行 msconfig.exe

2) 命令行:

C:> wmic startup list full
其他自启动入口
要注意的是, msconfig这些命令只是列出了部分开机自动启动的程序, Windows开机自启动的方式很多, 包括劫持系统程序/动态运行库等方式,
其中涉及到许多注册表入口, 感兴趣的朋友可以查看网上的其他文章.

5. 异常的网络流量
常用的网络相关自检命令:

複製代碼
 检查防火墙配置:

C:> netsh firewall show config

查看共享文件, 检查是否是主动分享的:

C:> net view \127.0.0.1

查看本机活跃的会话:

C:> net session

查看本机对其他系统打开的会话:

C:> net use

查看NetBIOS over TCP/IP 的激活状态:

C:> nbtstat -S

查看当前网络连接和监听情况:

C:> netstat -na

持续输出上述信息, 每3秒刷新一次:

C:> netstat -na 3

查看网络连接对应的进程id(-o)和进程名字(-b)

C:> netstat -naob


注: netstat -b 除了显示进程名字, 还显示了进程所加载的DLL信息, 所以持续输出的话会消耗比较多的CPU资源.
对于其他选项, 可以通过netstat -h查看帮助.

6. 异常帐号
重点查看新添加进管理员组的帐号.

1) 图形界面方式:

开始->运行 lusrmgr.msc -> 点击用户组 -> 双击管理员
然后查看里面的用户列表.

2) 命令行方式:

C:> net user
C:> net localgroup administrators
小结
当发现电脑突然变卡的时, 应当及时查看任务管理器看是否有某个异常进程占用了大量CPU资源; 当系统异常死机时,
应当及时检查对应日志, 看是否是某个程序执行exp导致的崩溃. 总而言之, 最好经常按照上述方式快速对系统做一遍检查,
以即使找出可能是电脑入侵引起的反常迹象, 以免导致个人信息和财产遭受损害

]]> Threat Hunting Sunny Heart https://itprosec.com/community/threat-hunting/%e5%bf%ab%e9%80%9f%e8%87%aa%e6%a3%80%e7%94%b5%e8%84%91%e6%98%af%e5%90%a6%e8%a2%ab%e9%bb%91%e5%ae%a2%e5%85%a5%e4%be%b5%e8%bf%87/ 利用Nginx流量镜像,优雅的接入waf https://itprosec.com/community/threat-hunting/%e5%88%a9%e7%94%a8nginx%e6%b5%81%e9%87%8f%e9%95%9c%e5%83%8f%ef%bc%8c%e4%bc%98%e9%9b%85%e7%9a%84%e6%8e%a5%e5%85%a5waf/ Mon, 13 Jul 2020 03:04:01 +0000 之前介绍了Nginx的两种开源waf, Naxsi 和 ModSecurity ,有人担心直接上生产会不会有问题,拦截正常请求,我想说——那是必然会影响的

现在大多WAF都是通过规则匹配请求特征,有规则,肯定就不会那么智能的避开所有正常请求,只拦截恶意请求,虽然现在有百度的openrasp等不依赖于请求特征的运行时攻击检测工具,但是也不能做到完全准确的拦截攻击或恶意请求

怎么才能比较友好的在线上接入Naxsi或ModSecurity开源waf?

新知图谱, 利用Nginx流量镜像,优雅的接入waf

这里就要参考网络防火墙,或者入侵检测系统的方法,通过流量镜像的方式,在网络故障处理中,为了更好的分析定位网络问题,我们通常会做流量镜像或者端口镜像,来保存镜像流量,用于分析恶意请求、或抓包故障定位等,我们web上也可以通过这种方式来做

怎么做呢,有很多开源的流量复制/镜像工具,比如gor、tcpcopy等,都可以用来做流量镜像

但是在Nginx下面,你就没必要这么麻烦了,Nginx早在1.13版本的时候就添加了ngx_http_mirror_module模块,就是用来做流量镜像的

新知图谱, 利用Nginx流量镜像,优雅的接入waf

Nginx的流量镜像模块,很简单,就两个指令

新知图谱, 利用Nginx流量镜像,优雅的接入waf

mirror用来指定请求将被镜像到哪个uri,可以指定多个镜像,uri也可以用相同的,相同的uri就表示将流量放大了一倍,也就是多复制了一份流量到uri,这个也是可以用来测试流量放大的情况下,后端的负载情况,简单演示

新知图谱, 利用Nginx流量镜像,优雅的接入waf

先看下不放大的情况下,请求看下

新知图谱, 利用Nginx流量镜像,优雅的接入waf

可以看到,是镜像一份请求,接着配置放大一倍,继续监听日志,查看效果

新知图谱, 利用Nginx流量镜像,优雅的接入waf

镜像两份请求,所以这个情况就能达到放大流量的效果

这里有个小的问题需要说一下,就是mirror是不支持access_log记录的,所以我这里是通过代理到另外一个server,通过另外一个server记录日志进行查看的,这个是一个需要注意的地方

流量镜像的另外一个指令就是mirror_request_body

新知图谱, 利用Nginx流量镜像,优雅的接入waf

该参数是指定是否镜像request_body部分,默认是开启的,官方文档中说,这个指令和

  • proxy_request_buffering

  • fastcgi_request_buffering

  • scgi_request_buffering

  • uwsgi_request_buffering

指令冲突,开启之后会禁用以上指令

使用该指令一定要保证mirror_request_body、proxy_pass_request_body和Content-Length配置一直,比如mirror_request_body或proxy_pass_request_body设置为off,则Content-Length必须设置为“” ,因为nginx(mirror_request_body)或tomcat(mirror_request_body)处理post请求时,会根据Content-Length获取请求体,如果Content-Length不为空,而由于mirror_request_body或者proxy_pass_request_body设置为off,处理方以为post有内容,当request_body中没有,处理方会一直等待至超时,则前者为off,nginx会报upstream请求超时

nginx的流量镜像配置就是这么简单,它的流量镜像是只复制镜像,发送到配置好的后端,但是后端响应返回到nginx之后,nginx是自动丢弃掉的,这个在官方文档介绍中就有,这个特性就保证了,镜像后端的不管任何处理都不会影响到正常客户端的请求

结合这个特性,我们就可以把waf配置在镜像流量下

新知图谱, 利用Nginx流量镜像,优雅的接入waf

之前介绍waf的文章中有waf配置的方式,这里就不多介绍了,想看的,可以看文章开头,也可以看文章后面推荐

通常waf中,拦截掉之后会返回403给客户端,当然也可以自定义,完后会记录拦截日志,利用这种机制,将waf配置在流量镜像下使用一段时间后,就可以从日志中分析出哪些正常请求会被拦截掉,从而修改waf规则,然后接入到生产数据中,这样可以有效的避免waf的FRR

]]> Threat Hunting tai chi https://itprosec.com/community/threat-hunting/%e5%88%a9%e7%94%a8nginx%e6%b5%81%e9%87%8f%e9%95%9c%e5%83%8f%ef%bc%8c%e4%bc%98%e9%9b%85%e7%9a%84%e6%8e%a5%e5%85%a5waf/ 如何快速判断一个文件是否为病毒 https://itprosec.com/community/threat-hunting/%e5%a6%82%e4%bd%95%e5%bf%ab%e9%80%9f%e5%88%a4%e6%96%ad%e4%b8%80%e4%b8%aa%e6%96%87%e4%bb%b6%e6%98%af%e5%90%a6%e4%b8%ba%e7%97%85%e6%af%92/ Mon, 25 May 2020 14:10:31 +0000 先说一下写这篇文章的背景和目的。现在吾爱的『原创发布区』和『精品软件区』人气很旺,发布的软件非常多。但也有一些小人,在发布的软件里插些小玩具,当灰客。论坛派专人检测也是很困难的,工作量太大,查不过来,因此很大程度上要靠用户自己识别,于是就有了这篇文章。需要说明一下的是,这篇文章主要是快速辨别正常文件与病毒,我自己也不是专业人员,方法是我自己总结出来的,很业余,不过我觉得还是有些用处的。如果你有更好的办法,欢迎跟帖提出。下面正文开始。

分析一个文件是否为病毒有多种方法,比如用OD这样的调试器,用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法,用最短的时间,最少的知识,来判断一个文件是否安全。

先说一下必要的工具:Sandboxie、PEID、OD以及你的杀毒软件。

比如说,我从论坛上下载一个别人发布的软件,这时候杀毒软件也许会报毒。这种情况下,先看一下报的病毒名。如果报的是“Win32/Packed.VMProtect.AAA 特洛伊木马 的变种”这样的壳,那么可以稍稍放松下警惕。对于一些壳,杀软脱不了,为了方便,就把这种壳当作病毒来处理。另外,如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病毒”这类的,就需要注意,这个文件可能被人恶意插入木马,或者被感染过。从杀软报的病毒名基本可以判断出这个文件是真的有问题,还是属于杀软的误报。然而,也有一些例外。比如“Trojan.Win32.Generic.122E105A”,这个一看就是云安全分析出来的病毒,没有什么有效的信息,所以无法通过病毒名判断是否是误判。

根据杀软的信息,可以对该文件的安全性有一个初步的了解。我想不会有人完全信任杀软的,更多的还是信任自己。用PEiD查一下壳,如果是一些简单的压缩壳,就在沙盘中运行OD,脱掉,分析。这时要做的不是一步步跟下去,而是找一下这个文件调用的API。在反汇编窗口右击,查找——当前模块中的名称(标签)。

未命名.PNG

观察一下API,这时也是有所取舍的。对于字符函数和字符串处理函数这类的,可以忽略过去;对于注册表函数、文件函数则要多加留意。比如说,看到了CreateFile,就在这个函数上下断,注意看有没有对系统敏感位置写入文件。同样,查看字符串也是有效的方式。一般地,可以从字符串找出一些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样,发现一些邮件地址以及相应密码的。这些都是很可疑的。遇到一些猛壳,脱掉它是很困难的,这时可以借助下沙盘。 未命名2.PNG
让程序在沙盘里完全运行,之后终止所有程序。

未命名3.PNG
查看一下程序生成了什么。

未命名5.PNG
从程序生成的文件基本可以判断是否是病毒了。当然,也不乏一些检测沙盘、虚拟机的小东西。在病毒样本区的页面上方有在线沙盘的链接。分析的结果十分具体,可以用来参考。如果你觉得手工检测太麻烦,可以借助在线沙盘,既快又详细。

未命名4.PNG

 

这样,举个例子吧.

http://www.52pojie.cn/viewthread.php?tid=58683 这是小生对一个带毒外挂的分析,大家可以看看录像,很有学习意义.下面我按照上面说的方法做一下.

先查一下壳,应该是没壳的.

QQ截图未命名1.png

此时我比较喜欢用PEiD的反汇编工具看看字符串,这个功能很方便.

QQ截图未命名2.png

注意选中的部分,很可疑.是一个URL,指向的还是个exe文件.这时应该怀疑这个外挂是个下载器.

下面将它用OD载入(在沙盘或虚拟机中进行),看一看当前模块中的名称(标签),有一个URLDownloadToFileA,这个函数可以实现将一个网络上的文件下载到本地的功能,一般的ShellCode常用到它.

QQ截图未命名4.png

在输入函数上切换断点,运行,可以看出具体的行为.

在此之后要做的就是对下载下来的这个文件进行分析(地址竟然还有效..).

QQ截图未命名5.png

一般来说微软的程序不会有这样的图标,而一个外挂莫名其妙地下载微软的东西,很奇怪,只能说是欲盖弥彰,所以可以直接毙掉了.

同理,如果用沙盘直接运行,最终会在沙盘里提取到这个文件,会发现在临时目录里.在外挂的目录下还会发现一个隐藏文件,应该就是干净的外挂.

挂的这个马应该变了,与小生附件中的程序已经不同了.

如果你认为很麻烦,可以直接把它扔到在线沙盘里,让机器替你分析.

比如说我认为下载下来的这个文件nSPack壳比较难脱,或者说我根本不会脱壳,那么就打开http://camas.comodo.com/cgi-bin/submit ,选择文件路径,然后Upload File,静候几分钟,就可以出结果,其它的在线沙盘也是大同小异.

 

这次找例子找的很麻烦,我没有存样本的习惯,那些发木马的检测出来之后都被封掉了,他们的光辉附件也就找不到了,没有合适的例子.况且拿货真价实的病毒来测也有点不大现实.在论坛找了好久才找到仅存的这个程序,以后如果在遇到发木马的我会拿它当例子讲一讲^_^

]]> Threat Hunting tai chi https://itprosec.com/community/threat-hunting/%e5%a6%82%e4%bd%95%e5%bf%ab%e9%80%9f%e5%88%a4%e6%96%ad%e4%b8%80%e4%b8%aa%e6%96%87%e4%bb%b6%e6%98%af%e5%90%a6%e4%b8%ba%e7%97%85%e6%af%92/ DDoS和CC攻击的区别及简单防御方法 https://itprosec.com/community/threat-hunting/ddos%e5%92%8ccc%e6%94%bb%e5%87%bb%e7%9a%84%e5%8c%ba%e5%88%ab%e5%8f%8a%e7%ae%80%e5%8d%95%e9%98%b2%e5%be%a1%e6%96%b9%e6%b3%95/ Sat, 23 May 2020 15:07:24 +0000 DDoS攻击:

DDoS全称:分布式拒绝服务(DDoS:Distributed Denial of Service)。信息安全的三要素——“保密性”、“完整性”和“可用性”中,拒绝服务攻击,针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。拒绝服务攻击问题一直得不到合理的解决,目前还是世界性难题,究其原因是因为这是由于网络协议本身的安全缺陷造成的,(这里不细说,详情自行百度)从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。

CC攻击:

CC攻击全称Challenge Collapsar,中文意思是挑战黑洞,因为以前的抵抗DDoS攻击的安全设备叫黑洞,顾名思义挑战黑洞就是说黑洞拿这种攻击没办法,新一代的抗DDoS设备已经改名为ADS(Anti-DDoS System),基本上已经可以完美的抵御CC攻击了。CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,造成拒绝服务。CC不像DDoS可以用硬件防火墙来过滤攻击,CC攻击本身的请求就是正常的请求。我们都知道网站的页面有静态和动态之分,动态网页是需要与后台数据库进行交互的,比如一些论坛用户登录的时候需要去数据库查询你的等级、权限等等,当你留言的时候又需要查询权限、同步数据等等,这就消耗很多CPU资源,造成静态网页能打开,但是需要和数据库交互的动态网页打开慢或者无法打开的现象。这种攻击方式相对于前两种实现要相对复杂一些,但是防御起来要简单的多,提供服务的企业只要尽量少用动态网页并且让一些操作提供验证码就能抵御一般的CC攻击。

CC攻击的三种方式

直接攻击,代理攻击,僵尸网络攻击,直接攻击主要针对有重要缺陷的 WEB 应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。僵尸网络攻击有点类似于 DDOS 攻击了,从 WEB 应用程序层面上已经无法防御,所以代理攻击是CC 攻击者一般会操作一批代理服务器,比方说 100 个代理,然后每个代理同时发出 10 个请求,这样 WEB 服务器同时收到 1000 个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时 WEB 服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,就象本来你去食堂吃饭时,一般只有不到十个人在排队,今天前面却插了一千个人,那么轮到你的机会就很小很小了,这时就出现页面打开极其缓慢或者白屏。

DDoS和CC的区别

DDoS攻击打的是网站的服务器,而CC攻击是针对网站的页面攻击的,用术语来说就是,一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站肯定也不能正常访问了。而应用层就是我们用户看得到的东西,就比如说网页,CC攻击就是针对网页来攻击的,CC攻击本身是正常请求,网站动态页面的正常请求也会和数据库进行交互的,当这种"正常请求"达到一种程度的时候,服务器就会响应不过来,从而崩溃。

DDoS是针对IP的攻击,而CC攻击的是服务器资源。

DDoS攻击防御

1.在系统各项资源非常宽裕时,向所有ip提供服务,每隔一段时间释放一部分临时黑名单中的ip成员;

2.在系统资源消耗达到某一阈值时,降低Syn包接受速率,循环:分析最近时间的日志,并将访问异常的ip加入临时黑名单;

3.若系统资源消耗慢慢回降至正常水平,则恢复Syn包接受速率,转到状态1;若目前策略并未有效地控制住系统资源消耗的增长,情况继续恶劣至一极限阈值,转到状态4;

4.最终防御方案,使用忠实用户ip白名单、异常访问ip黑名单策略,其他访问可慢慢放入,直到系统资源消耗回降至正常水平,转到状态1。

CC攻击防御

1.取消域名绑定
  一般cc攻击都是针对网站的域名进行攻击,比如我们的网站域名是“www.abc.com”,那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定,让CC攻击失去目标。

2.域名欺骗解析
  如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。

3.更改Web端口
  一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点“属性”面板,在“网站标识”下有个TCP端口默认为80,我们修改为其他的端口就可以了。

4.屏蔽IP
  我们通过命令或在查看日志发现了CC攻击的源IP,就可以在防火墙中设置屏蔽该IP对Web站点的访问,从而达到防范攻击的目的。

]]> Threat Hunting ITPro https://itprosec.com/community/threat-hunting/ddos%e5%92%8ccc%e6%94%bb%e5%87%bb%e7%9a%84%e5%8c%ba%e5%88%ab%e5%8f%8a%e7%ae%80%e5%8d%95%e9%98%b2%e5%be%a1%e6%96%b9%e6%b3%95/ 手动检测恶意软件和清除恶意软件劫持浏览器行为 https://itprosec.com/community/threat-hunting/%e6%89%8b%e5%8a%a8%e6%a3%80%e6%b5%8b%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%e5%92%8c%e6%b8%85%e9%99%a4%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%e5%8a%ab%e6%8c%81%e6%b5%8f%e8%a7%88%e5%99%a8%e8%a1%8c%e4%b8%ba/ Fri, 15 May 2020 13:00:47 +0000 火绒http://www.huorong.cn/

  1. 按下键盘上的win(旗标键)+R 打开运行对话框 在对话框里输入
  2. regedit 注册表
  3. msconfig 启动项管理工具
  4. gpedit.msc 组策略
  5. inetcpl.cpl IE选项
  6.  
  7. 控制面板--管理工具--服务
  8. 控制面板-管理工具--任务计划程序
  1. 1:注册表
  2. 2:启动项
  3. 3:注入模块
  4. 4:host文件
  5. 5:驱动文件
  6. 6:浏览器加载项目
  7. 7:Dns劫持
  8. 8:服务项目
  9. 9:浏览器配置文件
  10. 10:计划任务
  11. 11:桌面快捷方式添加命令参数


注册表
一般从编程的思路上来说,劫持浏览器的行为一般是通过更改系统的一些配置,有时候恶意软件是通过更改注册表里的相关键值来实现浏览器劫持,因为浏览器在启动的时候会自动去读取相关的注册表键值打开主页。所以很多恶意软件也会更改注册表的相关键值来实现劫持.我们可以打开注册表,然后点击工具栏上的 编辑\查找 在查找目标文本框里输入当前被劫持到的首页的域名,F3键可以继续搜索下一个。然后将搜索出来的项目或键值的值更改,即把包含这个域名的键值的文本值改为你需要的地址。如果提示没有权限更改的时候,请用Administrotor账户登录,或者在该注册表项目上点击右键\权限 然后将当前用户添加到此权限用户组里即可.

启动项
启动项也会为很多种,一般一个程序或模块要随机启动的话,首先是将行为写入驱动文件(.sys文件),然后驱动文件会在系统加载之前被先加载,而我们要查杀恶意驱动文件的话,只能是在安全模式下进行删除,正常模式下是不能删除驱动文件的,强行删除的话会造成蓝屏或系统崩溃。其次,恶意程序也可以将自身行为写成一个模块(.dll文件),并将这个模块注入到其他进程之中,那么其他进程启动的时候就会把这个模块也启动。例如Explorer.exe,这是系统重要进程,如果这个进程没有启动的话,桌面是不会显示的。所以很多恶意软件和病毒会注入这个进程,我们要查看进程加载的模块,只能是借助一些其他程序,比如火绒扩展软件中的火绒剑,或者PowerTool或XT等。还有就是注册表启动了,因为系统启动的过程中会读取注册表的一些键值,根据用户配置来启动一些软件,一些正常的软件会将自己的主程序路径写入注册表启动键值中。开始菜单里的启动项也是会被写入注册表的。系统的计划任务程序也是可以定时启动文件的。


注入模块
上面我们说了,恶意软件或病毒会把自己的行为写成.dll库文件,然后将这个模块注入到其他正常进程之中,常见的被注入的模块是Explorer.exe IInternetExplorer.exe这两个进程,我们可以用火绒剑,或者PowerTool或XT等软件显示这些进程所有加载模块,如果看到有异常的模块我们可以在安全模式下进行删除,不过删除前需要确认模块的路径,因为输入法,显卡,声卡,安全软件等很多正常程序也会把自身模块注入到其他进程。

host文件
打开系统当前盘符(c:)\工具\文件夹选项\隐藏受保护的操作系统文件(去勾)\显示隐藏的文件、文件夹和驱动器(选中)\Windows\System32\drivers\etc\hosts 用记事本打开这个文件,然后看一看里边有没有恶意的网址信息,用的话就将该行删除,如果提示没有权限删除的话,在hosts文件上右键\属性\安全\高级\更改权限 将当前用户名添加进权限项目里。

驱动文件
如何判断一个驱动文件是不是恶意文件或病毒文件,我们只能是使用杀毒软件或安全软件扫描系统,根据扫描结果来判断并在安全模式下删除,因为系统里的驱动文件实在太多了,这里不得不说一下国内的软件行业,一个播放器,一个聊天工具,一个非安全性能的软件也非得写驱动来加载,实在不知道他们想干什么。

浏览器加载项
浏览器加载项一般是IInternetExplorer浏览器里会加载的一些ActiveX控件,基于IInternetExplorer内核的浏览器会受影响,非IInternetExplorer内核的浏览器一般不会受此影,我们可以通过查看当前加载的项目,认为不需要加载的可以用右键\禁用,这里是可以优化一些的加载项目提升浏览器运行速度的。

Dns劫持
说到这个我们有时候就无能为力了,因为这个有时候不是我们本地电脑和系统的原因,而是ISP(宽带运营商)端口方面进行的劫持,当然,我们也可以通过改变我们本机的DSN地址来看看是不是能规避劫持。
屏幕右下角\托盘图标(网络拨号)\右键(打开网络和共享中心)\更改适配器设置\本地连接in当前拨号连接\Internet协议版本4\属性\使用下面的DNS服务器地址\分别填入首选DNS服务器地址和备用DNS服务器地址\确定 如果更换了本地DNS服务器地址还没有效果的话,请检查你的hosts文件,还不能解决问题的话,到工信部官方网站去投诉你现在的宽带运营商。

服务项目
很多朋友经常说有些程序不能正常卸载或进程不能关闭,其实他们都忽略了系统的另一个功能,服务项目(通过svchost.exe来加载),服务项目比模块和进程的权限要高一点,因为它的启动顺序要比普通进程或模块高,一般是驱动启动后就到服务项目启动,所以我们也要检查我们的服务项目,看看有没有异常的服务项目随机启动,有的话我们可以通过该服务项目上右键\禁止或手动,然后停止该服务项目。删除服务项目可以用命令行来删除,”开始““运行”输入cmd回车,打开cmd。输入sc可以看到使用方法。sc delete “服务名” (如果服务名中间有空格,就需要给服务名前后加半角的双引号),服务名称不是显示名称。打开“服务”右键“属性”查看。系统自带服务,不要删除。

浏览器配置项目
我之前在卡饭论坛上看过一篇关于浏览器首页被劫持的解决方案,这个恶意软件有点特别,它是将首页地址写入到了浏览器配置项目里去了,一般是.ini/.dat/.xml等后缀名的文件,我们可以通过更改文件夹选项中 文件夹选项\搜索\始终搜索文件名和内容(此过程可能需要几分钟)\选中\确定 然后显示所有隐藏受保护文件和显示所有文件,在c:盘中的搜索框里搜索被劫持的首页地址,然后打开搜索到的文件,将该地址删除或更改为自己需要的首页的地址,保存该文件即可。


计划任务程序
有很多恶意软件或病毒会往计划任务程序里添加项目,进而定时运行或监控,这个也是很多朋友在查杀病毒或恶意软件的时候没有注意的地方,我们可以通过检查计划任务里的项目,看看哪些是可疑的,可以停止或删除该项目,当然,我们也可以借助一些程序来进行检查,如360安全卫士 火绒剑 PowerTool等.

桌面快捷方式添加命令参数
这个作法现在已经很少有恶意软件会这么做了,但也不排除一些恶意软件会这样做,也许该作者二呢,我们可以在该快捷方式图标上右键\属性\目标in起始位置中看一看,有没有特殊的符号,如果有那么就是被天加了命令行参数了。我们可以将特殊符号后边的内容删除掉。

写在最后:我们只需要了解了这些,我们大致就可以了解一个程序的行为,大致上也能检查出问题到底出在哪里,然后我们就可以手动查杀或清除恶意软件给我们带来的麻烦和困扰。至于说为什么我要推荐火绒剑,那是因为这个程序的直观性比较好,功能性强大,能很好的进行检测和排查。在手动检查之前,需要先了解如何进入安全模式,升级你的安全软件病毒库至最新版本,关闭你的系统还原功能,备份你桌面和用户目录里的重要文件到基他非系统分区的盘里。然后进入安全模式全盘查杀,可以将查杀到的文件在安全模式里删除,如果Explorer.exe 这个进程被感染和替换了,你可以拷贝一个同样系统的该文件,在安全模式下进行替换或用winpe进行替换。

打赏微海报分享
]]> Threat Hunting tai chi https://itprosec.com/community/threat-hunting/%e6%89%8b%e5%8a%a8%e6%a3%80%e6%b5%8b%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%e5%92%8c%e6%b8%85%e9%99%a4%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%e5%8a%ab%e6%8c%81%e6%b5%8f%e8%a7%88%e5%99%a8%e8%a1%8c%e4%b8%ba/ 基于Centos7下的宝塔面板一键部署HFish – 一款开源蜜罐框架系统 https://itprosec.com/community/threat-hunting/%e5%9f%ba%e4%ba%8ecentos7%e4%b8%8b%e7%9a%84%e5%ae%9d%e5%a1%94%e9%9d%a2%e6%9d%bf%e4%b8%80%e9%94%ae%e9%83%a8%e7%bd%b2hfish-%e4%b8%80%e6%ac%be%e5%bc%80%e6%ba%90%e8%9c%9c%e7%bd%90%e6%a1%86/ Fri, 08 May 2020 12:55:07 +0000 HFish 是一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统,为了企业安全防护做出了精心的打造,全程记录黑客攻击手段,实现防护自主化。

这篇文章简单说说Centos7下面一键部署HFish - 一款开源蜜罐框架系统。大鸟这里介绍的是HFish 使用 Golang + SQLite 开发,使用者可以在 Win + Mac + Linux 上快速部署一套蜜罐平台

什么是蜜罐

蜜罐 技术本质上是一种对攻击方进行 欺骗的技术,通过布置一些作为 诱饵的主机网络服务 或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 捕获 和 分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐 好比是 情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

HFish的一些简单介绍:

官网:https://hfish.io/

github:https://github.com/hacklcx/HFish/

使用文档:https://hfish.io/docs/#/

安装步骤

安装还是很简单的,可以单击部署,集群部署等等。也提供了docker一键安装。

1、docker安装

下载镜像:

  1. docker pull imdevops/hfish

docker安装命令。

  1. docker run -d --name hfish -p 21:21 -p 22:22 -p 23:23 -p 3306:3306 -p 6379:6379 -p 8080:8080 -p 8989:8989 -p 9000:9000 -p 9001:9001 -p 11211:11211 imdevops/hfish:latest

默认帐号密码均为:admin,如需修改可以通过加入-e USERNAME= -e PASSWORD= 传入环境变量进行修改。

如需做数据持久化存储,可加参数 -v $PWD:/opt 挂载数据卷到宿主机上,避免容器删除数据丢失。

2、常规部署

这里我们用常规部署来安装,具体步骤如下。

2.1、下载包

  1. wget https://github.com/hacklcx/HFish/releases/download/0.4/HFish-0.4-darwin-amd64.tar.gz

2.2解压

  1. tar -zxvf HFish-0.4-linux-amd64.tar.gz

2.3修改config文件

进入包修改config文件(修改后台账号密码什么的)宝塔面板直接在可以在面板修改。

  1. cd HFish-0.4-linux-amd64

基于Centos7下的宝塔面板一键部署HFish - 一款开源蜜罐框架系统

2.4修改数据库权限

数据库给777,也可以在面板里直接给权限

  1. chmod 777 -R db

2.5启动

修改完后直接启动,命令如下:

  1. ./HFish run

需要后台运行加&

  1. ./HFish run &

2.6访问

浏览器打开之后输入【ip:9001】即可访问,如果不能访问,可以在宝塔安全组里面放心端口。

基于Centos7下的宝塔面板一键部署HFish - 一款开源蜜罐框架系统

默认的用户和密码都是admin。

2.7域名访问

如果我们觉得【ip+端口号】来访问不方便,那么可以使用反代来解决,宝塔面板来解决就更简单了,新建好一个站点,并绑定好域名。我们在网站设置里面找到方向代理,看图设置:

基于Centos7下的宝塔面板一键部署HFish - 一款开源蜜罐框架系统

这样就可以用域名访问了,如果你需要绑定ssl证书,那么请先停掉袋里,然后申请证书,申请好之后再设置好饭袋。

HFish 命令使用说明

  • HFish help (--help) 帮助命令
  • HFish run (--run) 启动服务
  • HFish version (--version) 查看当前版本
]]> Threat Hunting tai chi https://itprosec.com/community/threat-hunting/%e5%9f%ba%e4%ba%8ecentos7%e4%b8%8b%e7%9a%84%e5%ae%9d%e5%a1%94%e9%9d%a2%e6%9d%bf%e4%b8%80%e9%94%ae%e9%83%a8%e7%bd%b2hfish-%e4%b8%80%e6%ac%be%e5%bc%80%e6%ba%90%e8%9c%9c%e7%bd%90%e6%a1%86/ 一个防御DDoS的纯Shell脚本 https://itprosec.com/community/threat-hunting/ddos-deflate-%e4%b8%80%e4%b8%aa%e9%98%b2%e5%be%a1ddos%e7%9a%84%e7%ba%afshell%e8%84%9a%e6%9c%ac/ Sun, 03 May 2020 12:45:13 +0000 DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的值时,该脚本会通过APF或iptables禁止这些IP的访问。
据说官网为 http://deflate.medialayer.com/ ,但是已经无法访问。

 

DDoS deflate

 

安装

直接执行

1
wget -N --no-check-certificate https://lolico.moe/files/scripts/ddos/install-ddos-deflate.sh && chmod +x install-ddos-deflate.sh && ./install-ddos-deflate.sh

即可自动安装。
安装完成后会进入一个给你看本脚本license的界面,按q即可退出。

 

配置

配置文件在/usr/local/ddos/ddos.conf,我已经将配置文件的英文说明汉化。
此处展示一下重要配置内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
##### 运行此脚本的频率(分钟) ##### 注意:每当你修改了FREQ这个设置,你需要带 --cron 参数运行一次此脚本才能让这个设置生效 FREQ=1 ##### 一个IP连接有这~么多连接数才需要拉黑 NO_OF_CONNECTIONS=150 ##### 是否使用APF(一个防火墙程序)来ban掉IP ##### APF_BAN=1 (请确保你的APF版本至少为0.96) ##### APF_BAN=0 (用iptables,即系统自带防火墙来ban掉IP) APF_BAN=0 ##### KILL=0 (不会ban掉IP,对脚本交互有利) ##### KILL=1 (管他的直接ban,推荐使用这个设置) KILL=1 ##### 当一个IP被ban之后会发邮件到下面这个邮箱里 ##### 留空则不会发送 EMAIL_TO="root" ##### 当这么多秒过去以后,被ban的IP将解ban BAN_PERIOD=600

请根据你自己的需要修改配置,然后保存。

 

修改说明

这个脚本经过了我的修改以修复一个严重的 BUG

  1. 脚本中的第119行
    1
    netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

    此行被我注释,修改成了第120行的

    1
    netstat -ntu | sed '1,2d' | awk '{print $5}' | cut -d: -f1 | sed '/^\s*$/d' | sort | uniq -c | sort -nr > $BAD_IP_LIST

    此处新增的sed '1,2d'是为了过滤掉使用netstat -ntu命令时返回的开头两句英文说明。
    sed '/^\s*$/d'是为了删除前一步cut -d: -f1中产生的未删除的空行,如果不删除空行,在后面的统计排序中将会出现将空行也统计进去的BUG。

  2. 脚本里的head()函数被我重命名为showhead(),因为会与系统程序head冲突。
 

嫌1分钟的运行间隔不够短?

由于 Crontab 定时任务的最短定时间隔为1分钟,然而如果真的被攻击,1分钟的时间都够服务器喝一大壶的了。

想让脚本运行时间间隔小于1分钟,思路也十分简单,用另一个脚本让 DDoS deflate 在一分钟内运行数次就可以了。

例如要让这个脚本每10秒运行一次:

  1. /usr/local/ddos内新增一个脚本runddos.sh
    1
    vi /usr/local/ddos/runddos.sh

    并填入以下内容

    1
    2
    3
    4
    5
    6
    7
    8
    #!/bin/sh i=0; while do i=`expr $i + 1` /usr/local/ddos/ddos.sh >/dev/null 2>&1 sleep 10 done

    然后保存,记得给脚本加执行权限

    1
    chmod +x /usr/local/ddos/runddos.sh
  2. 修改 crontab 中 ddos 脚本的配置
    1
    vi /etc/cron.d/ddos.cron

    将文件中的

    1
    0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

    改为

    1
    0-59/1 * * * * root /usr/local/ddos/runddos.sh >/dev/null 2>&1

    实际上就是改成我们刚刚新建的那个runddos.sh脚本

  3. 重启 crontab
    1
    service crond restart

至此这个修改就完成了

 

如果想让脚本监控网站访问日志

如果想要监控网站访问记录,请将所有的网站访问日志放到一个文件夹里(下面以日志都在/www/wwwlogs并且文件名统一为xxxx.com.log为例),然后

  • 如果是 Nginx 的话,将脚本中第120行注释掉(有> $BAD_IP_LIST而且没注释掉的那行)
    然后紧接着加入以下三行内容:
    1
    2
    3
    TMP_DATE=`date` TMP_DATE=`echo "${TMP_DATE}" | awk '{print $3}'`/`echo "${TMP_DATE}" | awk '{print $2}'`/`echo "${TMP_DATE}" | awk '{print $6}'`:`echo "${TMP_DATE}" | awk '{print $4}' | head -c -3` grep -h "$TMP_DATE" /www/wwwlogs/*.com.log | awk '{print $1}' | sort | uniq -c | sort -nr > $BAD_IP_LIST

    第三行中的日志目录与通配符文件名匹配请根据你的实际情况修改。
    只懂得shell的一点皮毛,写的很罗嗦还请见谅,如果你还有更好的写法请务必提出来让我学习一个

  • 如果是 Apache ,由于我没用所以不知道日志长啥样,不过监控原理是一样的,如果你看得懂上面这句你就会写。
]]> Threat Hunting tai chi https://itprosec.com/community/threat-hunting/ddos-deflate-%e4%b8%80%e4%b8%aa%e9%98%b2%e5%be%a1ddos%e7%9a%84%e7%ba%afshell%e8%84%9a%e6%9c%ac/ Cloudflare自动拉黑恶意IP到防火墙和自动切换5秒盾脚本防CC攻击 https://itprosec.com/community/threat-hunting/cloudflare%e8%87%aa%e5%8a%a8%e6%8b%89%e9%bb%91%e6%81%b6%e6%84%8fip%e5%88%b0%e9%98%b2%e7%81%ab%e5%a2%99%e5%92%8c%e8%87%aa%e5%8a%a8%e5%88%87%e6%8d%a25%e7%a7%92%e7%9b%be%e8%84%9a%e6%9c%ac%e9%98%b2cc/ Sat, 02 May 2020 14:21:04 +0000 一个朋友将自己的企业站放在其云否主机上,流量不大,但由于使用的是经常受到CC攻击,主要表现就是IO和CPU爆增,最后就是数据库挂掉导致网站无法访问。一开始启用了Cloudflare,但是攻击者疯狂地扫描,防御效果一般。

为了能够精确地识别恶意IP,在启用了Cloudflare CDN后需要在Nginx和Apache中启用Real IP模块,然后利用脚本分析网站日志,从日志中搜集异常IP,然后使用Cloudflare API批量将恶意IP添加到Cloudflare的防火墙当中。

当然,当网站遭遇非常强大的CC和DDoS攻击时,我们可以启用Cloudflare经典的5秒盾防攻击,如果把握不了攻击的频率的话,可以设置一个定时任务,当系统负载超过某一个值(一般来攻击会导致系统负载爆增),调用Cloudflare API启用5秒盾。

Cloudflare自动拉黑恶意IP到防火墙和自动切换5秒盾脚本防CC攻击

更多的关于网站安全和优化,这里有:

  1. 五条关于使用免费VPS控制面板的安全建议-不让黑客有可趁之机
  2. Linux的php-fpm优化心得-php-fpm进程占用内存大和不释放内存问题
  3. 启用HSTS并加入HSTS Preload List让网站Https访问更加安全-附删除HSTS方法

PS:2019年3月25日更新,对于VPS的安全问题,很朋友可能会忽视VPS本身的SSH配置,这里有强化策略:VPS主机和服务器安全防护:SSH修改端口,添加白名单,仅限密钥登录

PS:2020年1月4日更新,Cloudflare Railgun是 Cloudflare 专门为 Business 和 Enterprise 企业级客户提供的终极加速方案。不过通过Cloudflare Partner可以免费开启:免费开启Cloudflare Railgun加速-减少连接延迟 实现动态页面缓存和加速

一、Cloudflare自动拉黑恶意IP

1.1  找出恶意IP

利用脚本分析在一分钟单个IP访问的频率,超过一定的频率(一般来正常的访问,一分钟内应该不超过60次,你可以设置为更小),即认定为恶意IP。脚本如下:

#/bin/bash

#日志文件,你需要改成你自己的路径

logfile=/data/wwwlogs/

last_minutes=1 

#开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)

start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'

echo $start_time

#结束时间现在

stop_time=`date +"%Y-%m-%d %H:%M:%S"`

echo $stop_time

cur_date="`date +%Y-%m-%d`" 

echo $cur_date

#过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径

tac $logfile/sky.ucblog.net_nginx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10

ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`

ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`

# 单位时间内单ip访问次数超过2次的ip记录入black.txt,这里wzfou.com为了测试设置了2,你需要改成其它的数字

for line in $ip

do

echo $line >> $logfile/black.txt

echo $line

# 这里还可以执行CF的API来提交数据到CF防火墙

done

1.2  批量添加IP到防火墙

使用以下代码就可以将恶意IP批量添加到Cloudflare的防火墙了,记得替换为你的Cloudflare API。

#!/bin/bash
# Author: Zhys
# Date  : 2018

# 填Cloudflare Email邮箱
CFEMAIL="freehao123@gmail.com"
# 填Cloudflare API key
CFAPIKEY="xxxxxxxxxxxxxxxx"
# 填Cloudflare Zones ID 域名对应的ID
ZONESID="xxxxxxxxxxxxxxxxxxxx"

# /data/wwwlogs/black.txt存放恶意攻击的IP列表
# IP一行一个。
IPADDR=$(</data/wwwlogs/black.txt)

# 循环提交 IPs 到 Cloudflare  防火墙黑名单
# 模式(mode)有 block, challenge, whitelist, js_challenge
for IPADDR in ${IPADDR}; do
echo $IPADDR
curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  -H "X-Auth-Email: $CFEMAIL" \
  -H "X-Auth-Key: $CFAPIKEY" \
  -H "Content-Type: application/json" \
  --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
done

# 删除 IPs 文件收拾干净
rm -rf /data/wwwlogs/black.txt

1.3  自动找出恶意IP并添加到防火墙

直接将上面两个脚本合并到一个脚本即可。

#/bin/bash

#日志文件,你需要改成你自己的路径

logfile=/data/wwwlogs/

last_minutes=1 

#开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)

start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'

echo $start_time

#结束时间现在

stop_time=`date +"%Y-%m-%d %H:%M:%S"`

echo $stop_time

cur_date="`date +%Y-%m-%d`" 

echo $cur_date

#过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径

tac $logfile/sky.ucblog.net_nginx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10

ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`

ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`

# 单位时间内单ip访问次数超过2次的ip记录入black.log,这里为了测试设置2,你需要改成其它的数字

for line in $ip

do

echo $line >> $logfile/black.txt

echo $line

# 这里还可以执行CF的API来提交数据到CF防火墙

done

# 填Cloudflare Email邮箱
CFEMAIL="freehao123@gmail.com"
# 填Cloudflare API key
CFAPIKEY="xxxxxxxxxxxxxxxxxxxxxxxx"
# 填Cloudflare Zones ID 域名对应的ID
ZONESID="xxxxxxxxxxxxxxxxxxxxxxxxxxx"

# /data/wwwlogs/black.txt存放恶意攻击的IP列表
# IP一行一个。
IPADDR=$(</data/wwwlogs/black.txt)

# 循环提交 IPs 到 Cloudflare  防火墙黑名单
# 模式(mode)有 block, challenge, whitelist, js_challenge
for IPADDR in ${IPADDR}; do
echo $IPADDR
curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  -H "X-Auth-Email: $CFEMAIL" \
  -H "X-Auth-Key: $CFAPIKEY" \
  -H "Content-Type: application/json" \
  --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
done

# 删除 IPs 文件收拾干净
 rm -rf /data/wwwlogs/black.txt

上面的脚本我已经放在我的下载中心,可以提供给大家下载使用,代码如下:

wget https://www.ucblog.net/shell/attack-ip.sh
chmod +x /qicmd/cfblockip.sh
./cfblockip.sh

wget https://www.ucblog.net/shell/attack-ip.sh
chmod +x /qicmd/attack-ip.sh
./attack-ip.sh

wget https://www.ucblog.net/shell/cf-block-attack-ip.sh
chmod +x /qicmd/cf-block-attack-ip.sh
./cf-block-attack-ip.sh

最后,设置一个定时任务,让脚本每过一分钟检测一次(请根据需要来调整,关于定时任务的使用参考:Linux Crontab命令定时任务基本语法

* * * * * /bin/bash /root/cf-block-attack-ip.sh > /tmp/ou1t.log 2>&1

自动添加恶意IP到CloudFlare防火墙的效果如下:

Cloudflare自动拉黑恶意IP到防火墙

二、Cloudflare自动切换5秒盾脚本

网站:

  1. https://github.com/Machou/Cloudflare-Block

当你的服务器受到攻击时,系统负载就会爆增,利用脚本自动检测系统负载,当压力超过一定的值时就可以切换为” I’m Under Attack! “模式了。操作步骤如下:

#下载
cd /root && git clone https://github.com/Machou/Cloudflare-Block.git DDoS

#打开Cloudflare.sh,修改配置
API_KEY			You're Global API Key (https://dash.cloudflare.com/profile)
MAIL_ACCOUNT		Email of your Cloudflare account
DOMAIN			Zone ID (https://dash.cloudflare.com/_zone-id_/domain.com)

#设置定时任务
crontab -e

*/1 * * * * /root/DDoS/Cloudflare.sh 0 # check every 1 minute if protection is not enabled
*/20 * * * * /root/DDoS/Cloudflare.sh 1 # check every 20 minutes if protection is enabled

脚本默认的是检测系统负载为10,启动” I’m Under Attack! “模式,你以根据需要来调整。如下图:

Cloudflare自动切换5秒盾脚本

完整的脚本代码如下:

#!/bin/bash


# $1 = 1min, $2 = 5min, $3 = 15min
loadavg=$(cat /proc/loadavg|awk '{printf "%f", $1}')


# load is 10, you can modify this if you want load more than 10
maxload=10


# Configuration API Cloudflare
# You're Global API Key (https://dash.cloudflare.com/profile)
api_key=
# Email of your account Cloudflare
email=
# Zone ID (https://dash.cloudflare.com/_zone-id_/domain.com)
zone_id=     


# create file attacking if doesn't exist
if ; then
  echo 0 > $attacking
fi

attacking=./attacking


hasattack=$(cat $attacking)


if ; then

  if []; then

    # Active protection
    echo 1 > $attacking
    curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \
            -H "X-Auth-Email: $email" \
            -H "X-Auth-Key: $api_key" \
            -H "Content-Type: application/json" \
            --data '{"value":"under_attack"}'
  fi

  else
    if []; then

    # Disable Protection
    echo 0 > $attacking
    curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \
            -H "X-Auth-Email: $email" \
            -H "X-Auth-Key: $api_key" \
            -H "Content-Type: application/json" \
            --data '{"value":"high"}'
  fi
fi

exit 0

三、总结

Cloudflare是一个非常好用的防御DDos和CC攻击的工具,免费版本的Cloudflare结合API可以实现更加灵活的功能,对于普通的防御足够自己使用了。

Cloudflare防护也有一定的问题,那就是启用了Cloudflare后获取到用户的IP都是Cloudflare CDN节点的IP,我们还需要在服务器配置中做进一步的优化。

 

From: https://wzfou.com/cloudflare-cc/

]]> Threat Hunting tai chi https://itprosec.com/community/threat-hunting/cloudflare%e8%87%aa%e5%8a%a8%e6%8b%89%e9%bb%91%e6%81%b6%e6%84%8fip%e5%88%b0%e9%98%b2%e7%81%ab%e5%a2%99%e5%92%8c%e8%87%aa%e5%8a%a8%e5%88%87%e6%8d%a25%e7%a7%92%e7%9b%be%e8%84%9a%e6%9c%ac%e9%98%b2cc/ 网站挂木马和服务器被黑排查分析-VPS主机和服务器强化安全方法 https://itprosec.com/community/threat-hunting/%e7%bd%91%e7%ab%99%e6%8c%82%e6%9c%a8%e9%a9%ac%e5%92%8c%e6%9c%8d%e5%8a%a1%e5%99%a8%e8%a2%ab%e9%bb%91%e6%8e%92%e6%9f%a5%e5%88%86%e6%9e%90-vps%e4%b8%bb%e6%9c%ba%e5%92%8c%e6%9c%8d%e5%8a%a1%e5%99%a8/ Sat, 02 May 2020 14:17:58 +0000 “不怕贼偷,就怕贼惦记着”,网站被挂木马这种事真的太常见了,主要是现在大家用的建站程序基本上都是免费的或者是开源的,长期不打理或者不更新程序代码就容易出现各种安全漏洞,给“有心者”入侵提供了机会。另外,没有绝对的网站安全防护,即使是xx宝也可能有安全问题。

前几天利用VPS-Inventory-Monitoring搭建一个可以支持微信和TG电报通知提醒的VPS库存监控平台,就惨遭“入侵”。有朋友反馈说vps.wzfou.com打不开,挖站否点击进去看了一下网页变成了空白,用Chrome审查元素查看是两个JS被阻止加载。

网站挂木马和服务器被黑排查分析-VPS主机和服务器安全性方法

进一步分析发现网页是被挂木马了,本篇文章就来分享一下网站挂木马和服务器被黑排查分析的全过程,同时利用CDN加速、WAF防火墙以及网站及时更新程序补丁等方式来解决VPS主机和服务器安全性问题。更多的关于网站和服务器安全的文章,这里有:

  1. VPS主机和服务器安全防护:SSH修改端口,添加白名单,仅限密钥登录
  2. 五条关于使用免费VPS控制面板的安全建议-不让黑客有可趁之机
  3. 启用HSTS并加入HSTS Preload List让网站Https访问更加安全-附删除HSTS方法

一、网页挂马服务器被黑分析

1.1 网站出现异常

网站挂木马和服务器被黑有时容易发现,有时容易被发现,有时可能要“潜伏”很久才会爆发。像挖站否是直接出现网页空白。

网站挂木马出现异常

1.2 分析异常原因

用Chrome浏览器查看一下,发现加载两个外部的JS文件,因为SSL协议问题被浏览器阻止导致无法加载,如下图:

网站挂木马查看源代码

错误详细代码如下:

  1. A parser-blocking, cross site (i.e. different eTLD+1) script, https://sfhufh2.com/ylc.js, is invoked via document.write. The network request for this script MAY be blocked by the browser in this or a future page load due to poor network connectivity. If blocked in this page load, it will be confirmed in a subsequent console message. See https://www.chromestatus.com/feature/5718547946799104 for more details.
  2. (anonymous) @ (index):9
  3. 2ylc.js:16 A parser-blocking, cross site (i.e. different eTLD+1) script, https://js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9, is invoked via document.write. The network request for this script MAY be blocked by the browser in this or a future page load due to poor network connectivity. If blocked in this page load, it will be confirmed in a subsequent console message. See https://www.chromestatus.com/feature/5718547946799104 for more details.

进一下分析是加载了一个外部的JS文件,打开这个文件此时终于发现了一些“证据”了,JS里面的加了不少的代码。

网站挂木马发现JS文件

详细的代码如下:

  1. var _hmt = _hmt || ;
  2. (function() {
  3. var hm = document.createElement("script");
  4. hm.src = "https://hm.baidu.com/hm.js?70546d661cadce41b9173a040b7f077e";
  5. var s = document.getElementsByTagName("script");
  6. s.parentNode.insertBefore(hm, s);
  7. })();
  8. (function () {
  9. /*百度推送代码*/
  10. var bp = document.createElement('script');
  11. bp.src = '//push.zhanzhang.baidu.com/push.js';
  12. var s = document.getElementsByTagName("script");
  13. s.parentNode.insertBefore(bp, s);
  14. /*360推送代码*/
  15. var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9';
  16. document.write('<script src="' + src + '" id="sozz"><\/script>');
  17. })();
  18.  
  19. document.writeln("<script LANGUAGE=\"Javascript\">");
  20. document.writeln("var s=document.referrer");
  21. document.writeln("if(s.indexOf(\"baidu\")>0 || s.indexOf(\"sogou\")>0 || s.indexOf(\"soso\")>0 ||s.indexOf(\"sm\")>0 ||s.indexOf(\"uc\")>0 ||s.indexOf(\"bing\")>0 ||s.indexOf(\"yahoo\")>0 ||s.indexOf(\"so\")>0 )");
  22. document.writeln("location.href=\"https://1xx033.com\";");
  23. document.writeln("</script>");

代码中执行了location.href到波菜站,此时可以证明网站已经被挂木马了,此恶意代码会让访问者跳转到入侵者指定的网站。

网站挂木马跳转网站

二、分析服务器入侵蛛丝马迹

2.1 分析网页源码

上面发现的JS文件并没有直接在源码中引用,但是发现了网页源码中一段被混淆加密压缩过代码:

网站挂木马加密的JS代码

网页被挂木马的结论出来了:

打开首页,脚本执行了evel(混淆加密压缩),动态引入xxx.js,在js里执行了(function (){/* 跳转逻辑 */})()。

但是为什么自己打开是正常访问而没有跳转呢?通过进一步分析恶意代码, 发现JS作了判断:如果站点referrer是搜索引擎过来的就跳转到波菜站,不是就不做跳转直接正常打开站点。

网站挂木马得出结论

2.2 分析服务器日志

分析服务器日志可以找到入侵者是在何时何地“作恶”的。这里推荐两个日志分析工具,特别适用于网站日志比较大的时候:

服务器日志分析利器:ngxtop和GoAccess-实时监控可视化管理快速找出异常来源

三步揪出服务器流量异常“李鬼”-Linux服务器流量带宽监控与统计命令

另外,检查一下服务器后台是不是被人登录过了,参考:Linux登录失败记录-查看S-S-H暴力破解记录

网站挂木马后台登录记录

2.3 分析网站文件

入侵者无法是通过SQL注入或者是巧借代码漏洞,最终还是为了修改源码并加入自己的代码,从而达到自己不可告人的目的。我们很容易发现网站根目录下出现了一些“莫名其妙”的文件,如下图:

网站挂木马错误文件

还有这样的复制一份首页代码或者用自己的代码替换的:

网站挂木马复制代码

当然PHP代码或者JS代码基本上都是作了加密处理,如下图:

网站挂木马加密的PHP代码

三、防止挂马和被黑基本操作

3.1 CloudFlare安全防护

CloudFlare是一个CDN加速工具,但同时也可以安全防护工具,CloudFlare在防CC和DDos的能力方面还是相当地出色的,必要时开启CloudFlare的五秒盾。

网站挂木马启用CloudFlare

觉得手动切换CloudFlare五秒盾太麻烦的话,可以使用以下自动模式:

Cloudflare自动拉黑恶意IP到防火墙和自动切换5秒盾脚本防CC攻击

3.2 增强服务器的安全性

首先,你需要对服务器的基本安全性作一个全面的了解,例如SSH默认的端口还是不要保留了,对于服务器后台的登录权限一定要高度重视:

VPS主机和服务器安全防护:SSH修改端口,添加白名单,仅限密钥登录

如果你发现网站被CC攻击了,量少的话可以采取自动识别恶意IP并拉黑的方法,防护效率还是非常高的:

VPS主机防攻击应对CC和DDOS的基本思路-防扫描防火墙阻止策略

3.3 增强PHP运行环境安全

禁用危险函数

PHP提供的system()等函数可以直接执行系统命令,如果程序限制不严谨或写法不规范,被骇客利用是非常危险的,禁用此类较为危险的函数非常有必要。需要修改php.ini,添加如下内容:

  1. disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,popen

防止跨站攻击

跨站攻击通常表现为A网站被黑之后,骇客利用脚本再次访问B网站或其它目录,最终可能导致所有网站全部沦陷。

open_basedir 参数将php所能打开的文件限制在指定的目录树中,包括文件本身。当程序要使用例如fopen()或file_get_contents()打开一个文件时,这个文件的位置将会被检查。当文件在指定的目录树之外,程序将拒绝打开。open_basedir设置的方法比较多,这里列出几个常用的。

php.ini设置

可以直接修改php.ini直接加入

  1. open_basedir="指定目录"

从PHP脚本上设置

在程序脚本上限制:

  1. ini_set('open_basedir', '指定目录');

通过.user.ini 进行设置

先来看看官方具体是如何解释.user.ini这个文件的:

自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。

除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别。

简而言之,也就是说当PHP以CGI/FastCGI SAPI方式运行时,会去读取一个.user.ini的配置,我们可以在这里面设定open_basedir参数来防止跨站。

在站点根目录下新建一个.user.ini,内容如下:

  1. open_basedir=/data/wwwroot/:/tmp/:/proc/

为防止.user.ini被篡改,可以给这个文件加上隐藏属性。

  1. chattr +i .user.ini

目前已知的宝塔面板,军哥LNMP(lnmp.org)默认使用.user.ini来防止跨站,这个方式非常灵活,可以针对某个网站单独设置。也可以直接写在fastcgi.conf中根据网站目录自动限制:

  1. fastcgi_param PHP_ADMIN_VALUE “open_basedir=$document_root/:/tmp/:/proc/”;

禁止部分目录执行PHP

大多数PHP框架,如CodeIgniter、ThinkPHP都是单一入口,只需要index.php有入口权限程序就能正常运行。上传目录、静态文件目录完全没必须要赋予PHP执行权限,否则反而可能被利用。nginx可以通过下面的规则来禁止某个目录执行PHP:

  1. #uploads|templets|data 这些目录禁止执行PHP
  2. location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
  3. return 444;
  4. }

四、总结

vps.wzfou.com被挂木马的事件基本上可以判定是程序的问题了,因为经过仔细观察基它的采用了VPS-Inventory-Monitoring架构的平台也是出现了同样的问题,可以推断攻击者找到了程序的漏洞进而进行了破坏。

面对网站挂木马和服务器被黑,不用太紧张,仔细分析一下网页源码、服务器后台登录记录、Nginx或者Apache日志以及文件日期对比,基本上可以锁定入侵者的“作案手法”以及“邪恶用心”。为防止留有后门,记得重装系统。

 

From https://wzfou.com/wangzhan-muma/

]]> Threat Hunting tai chi https://itprosec.com/community/threat-hunting/%e7%bd%91%e7%ab%99%e6%8c%82%e6%9c%a8%e9%a9%ac%e5%92%8c%e6%9c%8d%e5%8a%a1%e5%99%a8%e8%a2%ab%e9%bb%91%e6%8e%92%e6%9f%a5%e5%88%86%e6%9e%90-vps%e4%b8%bb%e6%9c%ba%e5%92%8c%e6%9c%8d%e5%8a%a1%e5%99%a8/