Linux内核服务器被攻击排查取证

前言：如果遇到服务器被黑，很多人会采用拔网线、封 iptables 或者关掉所有服务的方式应急。这种办法却不是长久之计，因为大部分都是线上服务器被黑，会非常影响线上业务正常开展。遇到了这种情况，应该如何取证呢？我这边汇总了一些常用排查取证命令。

一、获取基本信息

系统信息

//查看内核版本
[root@Goyasha~]# uname -a
Linux iZ0jl4nkdeztkww0r5igw1Z 3.10.0-957.21.3.el7.x86_64 #1 SMP Tue Jun 18 16:35:19 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
-
//查看系统版本
[root@Goyasha~]# lsb_release -a 或 lsb_version -a
LSB Version:	:core-4.1-amd64:core-4.1-noarch
Distributor ID:	CentOS
Description:	CentOS Linux release 7.6.1810 (Core) 
Release:	7.6.1810
Codename:	Core
-
//查看操作系统版本
[root@Goyasha~]# head -n 1 /etc/issue
\S

用户及组

//查看系统所有用户
[root@Goyasha~]# cut -d: -f1 /etc/passwd
内容省略..
-
//查看系统所有组
[root@Goyasha~]# cut -d: -f1 /etc/group 
内容省略..

防火墙及路由

//列出防火墙所有规则
[root@Goyasha~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
-
//查看路由表
[root@Goyasha~]# route -n
以下省略..

二、获取网络信息

网络接口

//主机所有网络接口
[root@Goyasha~]# ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XX.XX.XX.XX netmask XX.XX.XX.XX  broadcast XX.XX.XX.XX
        ether 00:16:3e:01:0d:78  txqueuelen 1000  (Ethernet)
        RX packets 12914006  bytes 2281399127 (2.1 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 11741027  bytes 15977525414 (14.8 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2578850  bytes 280746220 (267.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2578850  bytes 280746220 (267.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

开放端口

//显示网络连接、路由表和网络接口信息，下面的SS命令比netstat好用。
[root@iZ0jl4nkdeztkww0r5igw1Z ~]# netstat -tanp
Active Internet connections (servers and established)
以下省略..
-
//ss命令用于显示socket状态。他可以显示 PACKET sockets，TCP sockets，UDP sockets，DCCP sockets，RAW sockets，Unix domain sockets等等统计。它比其他工具展示等多tcp和state信息。
[root@iZ0jl4nkdeztkww0r5igw1Z ~]# ss -tanp
以下省略..