Linux***

goodmm

　　一、认识常见的×××控制端的功能
　　二、×××客户端类型
　　三、传马***的过程
（1）、默认端口22  弱口令爆破
（2）、21端口  3306端口  弱×××破
（3）、webshell 进行shell 反弹提权
（4）、×××传入服务器的上面并且执行，通过×××的方式来控制你的服务器，进行一些非法的操作

     （1）、切入/tmp 目录
（2）、WGET 下载×××
（3）、×××加载权限
（4）、执行×××
（5）、后门、支持×××复活
　　四、被***之后的症状
（1）、CPU莫名其妙的利用率非常之高，断断续续的。
　　五、如何清除×××及后门
（1）、清除×××
1、网络连接  过滤掉正常连接:

netstat -ntpl |grep "tcp"  | grep -v "22" | grep "ESTABLISHED"
　　#top  
#ps -ef|grep "进程名"  查找进程号
#kill -9 "进程号"
#find  / -name "进程名"
#rm -rf  文件名
2、判断一些异常连接，通过PID找到进程名称
3、通过名字，找到源文件。删除掉
　　（2）、清除后门，检查一下文件并进行校验：
1、/etc/rc.local
2、crontab -l
3、/root/.bashrc  普通用户下面的.bashrc
4、/etc/profile
　　六、Linux安全加固
（1）、了解常见的扫描和提权端口
22 端×××破破解
21端口提权
3306 端口提权
webshell   反弹
　　写一个脚本、将服务器正常的进程号，导入到一个目录，取一个名字叫作原始备份.log，提取实时进程名称>shishi.log
通过diff 去对比 原始和实时 zhe log的区别，一旦发现对比不一样，通过名称 得到PID号，然后再通过pid查找网络连接和监听的端口号及IP地址。
将这些信息发送告警到管理员的手机或者邮件里面。让管理员进行判断和分析。
　　(2)、如何对Linux 进行安全加固
1、进程数量监控及对比
进程数量
进程异常的名称及PID号
根据PID号进行查询网络网络连接的异常
　　2、计划任务列表监控
查看计划任务
监控/var/log/cron 日志
　　3、 用户登录监控
什么用户登录的?在什么时候登录？
用户登录IP是否合法？
用户登录的用户名是否合法？
用户登录时间是否合法？
　　4、/etc/passwd  /etc/shadow MD5校验
MD5校验防止有人更改passwd和shadow文件
passwd文件可以进行加锁
passwd定期进行备份。进行内容diff对比
　　5、非有效用户登录shell权限
除了运维常用的维护账号以外。其它账号不能拥有登录系统的shell
针对/etc/passwd 文件统计 bash 结尾的有多少个？将不用的改成/sbin/nologin
将不必要的账号删除或者锁定
　　6、安全日志分析与监控 /var/log/secure
定期或者实时分析/var/log/secure文件，是否偶爆破破解和试探
过滤Accepted关键字，分析对应的IP 是否为运维常用IP及端口和协议、是否是为已经被***。
定期备份/var/log/secure 防止比***后。更改和删除***记录。
　　7、  /etc/sudoers 监控
防止对方通过webshell反弹的方式。增加普通用户到/etc/sudoers。
定期备份/etc/sudoers 和监控，发现特殊的用户写入此文件。视为已被***。
此配置文件。普通用户可绕过ROOT密码直接sudo到ROOT权限。
　　8、网络连接数的异常
经常统计TCP连接，排除正常的连接以外。分析额外的TCP长连接。
配合（方法1）进程的检查进行连接查询。
发现异常进程后。通过进程名使用top的方式。或者find命令搜索×××所在的位置。
找到连接所监听的端口号以及IP。将此IP拉人黑名单，KILL掉进程，删除×××源文件。
监控连接监听，防止×××复活。
　　9、/etc/profile 定期巡检
检查/etc/profile 文件防止×××文件路径写入系统环境变量。防止×××复活。
防止/etc/profile 调用其它的命令或者脚本进行后门连接。
此文件进行MD5校验，定期备份与DIFF 如发现异常，则视为***，进行告警
　　10、/root/.bashrc 定期巡检
检查/root/.bashrc 文件，防止随着ROOT用户登录。执行用户环境变量，导致×××复活。
防止/root/.bashrc 通过此文件进行后门创建与连接
此文件进行MD5校验。 定期备份与DIFF 如发现异常 则视为***，进行告警。
　　11、常用端口加固及弱口令：
修改22默认端口号
修改ROOT密码为复杂口令或者禁止ROOT用户登录。使用key方式登录。
FTP要固定chroot目录。只能在当前目录，不随意切换目录。
mysql注意修改3306默认端口，授权的时候不允许使用%号进行授权。
mysql用户及IP授权请严格进行授权，除了DBA，其它开发人员不应该知道JDBC文件对应的用户和密码！
　　12、WEB层面的防护
　　Linux安全审计与总结
（1）、关注常见的安全网站
乌云漏洞：http://www.wooyun.org
盒子漏洞：https://www.vulbox.com/
国家信息安全漏洞平台：http://www.cnvd.org.cn
　　(2)、
关注技术及安全学习论坛
1、http://www.chinaunix.net
2、http://www.运维网.com/