标签：Webshell log 账号 主机 var etc Linux 加固 上传

账号和口令

• 禁用或删除无用账号 • 减少系统无用账号，降低安全风险。

• 操作步骤 • cat / etc /shadow   查看有多少账户  • 使用命令 userdel <用户名> 删除不必要的账号。 • 使用命令 passwd -l <用户名> 锁定不必要的账号。 • 使用命令 passwd -u <用户名> 解锁必要的账号。 • • 检查特殊账号 • 检查是否存在空口令和root权限的账号。 • 操作步骤 • 查看空口令和root权限账号，确认是否存在异常账号： • 使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令账号。 • 使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为零的账号。    //root 权限的账户 • 加固空口令账号： • 使用命令 passwd <用户名> 为空口令账号设定密码。

确认UID为零的账号只有root账号。

• 添加口令策略 • 加强口令的复杂度等，降低被猜解的可能性。 • 操作步骤 • 使用命令 vi /etc/login.defs 修改配置文件。 • PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 • PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 • PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 • 使用chage命令修改用户设置。 • 例如，chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名>表示将此用户的密码最长使用天数设为30，最短使用天数设为0，密码2000年1月1日过期，过期前七天警告用户。 • 设置连续输错三次密码，账号锁定五分钟。使用命令 vi /etc/pam.d/common-auth修改配置文件，在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300。 • • 限制用户su • 限制能su到root的用户。 • 操作步骤 • 使用命令 vi /etc/pam.d/su修改配置文件，在配置文件中添加行。例如，只允许test组用户su到root，则添加 auth required pam_wheel.so group=test。 • • 禁止root用户直接登录 • 限制root用户直接登录。 • 操作步骤 • 创建普通权限账号并配置密码,防止无法远程登录; • 使用命令 vi /etc/ssh/sshd_config修改配置文件将PermitRootLogin的值改成no，并保存，然后使用service sshd restart重启服务。

服务

• 关闭不必要的服务 • 关闭不必要的服务（如普通服务和xinetd服务），降低风险。 • • 操作步骤 • 使用命令systemctl disable <服务名>设置服务在开机时不自动启动。 • chkconfig --lis t   查看启动服务 • 说明： 对于部分老版本的Linux操作系统（如CentOS 6），可以使用命令chkconfig --level <init级别> <服务名> off设置服务在指定init级别下开机时不自动启动。 • • SSH服务安全 • 对SSH服务进行安全加固，防止暴力破解成功。 • • 操作步骤 • 使用命令 vim /etc/ssh/sshd_config 编辑配置文件。 • 不允许root账号直接登录系统。 • 设置 PermitRootLogin 的值为 no。 • 修改SSH使用的协议版本。 • 设置 Protocol 的版本为 2。 • 修改允许密码错误次数（默认6次）。 • 设置 MaxAuthTries 的值为 3。 • 配置文件修改完成后，重启sshd服务生效。

文件系统

• 设置umask值 • 设置默认的umask值，增强安全性。 • 操作步骤 • 使用命令 vi /etc/profile 修改配置文件，添加行 umask 027， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。 • • 设置登录超时 • 设置系统登录后，连接超时时间，增强安全性。 • 操作步骤 • 使用命令 vi /etc/profile 修改配置文件，将以 TMOUT= 开头的行注释，设置为TMOUT=180，即超时时间为三分钟。

日志

• syslogd日志 • 启用日志功能，并配置日志记录。 • • 操作步骤 • Linux系统默认启用以下类型日志： • 系统日志（默认）/var/log/messages • cron日志（默认）/var/log/cron • 安全日志（默认）/var/log/secure • 注意：部分系统可能使用syslog-ng日志，配置文件为：/etc/syslog-ng/syslog-ng.conf。 • 您可以根据需求配置详细日志。 • 记录所有用户的登录和操作日志 • 通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查。 • 操作步骤 • 运行 [root@xxx /]# vim /etc/profile打开配置文件。 • 在配置文件中输入以下内容：

 history    
 USER=`whoami`    
 USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
 if [ "$USER_IP" = "" ]; then    
 USER_IP=`hostname`    
 fi    
 if [ ! -d /var/log/history ]; then    
 mkdir /var/log/history    
 chmod 777 /var/log/history    
 fi    
 if [ ! -d /var/log/history/${LOGNAME} ]; then    
 mkdir /var/log/history/${LOGNAME}
 chmod 300 /var/log/history/${LOGNAME}    
 fi    
 export HISTSIZE=4096    
 DT=`date +"%Y%m%d_%H:%M:%S"`  
 export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"    
 chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

  • 运行 [root@xxx /]# source /etc/profile 加载配置生效。 • 注意： /var/log/history 是记录日志的存放位置，可以自定义。 • 通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有操作（root用户除外）。 • 同时，建议您使用OSS服务收集存储日志。

 

安全审计

• 审计内容包括系统内重要的安全相关事件 • 实操： • • • 结果将导致发生故障或入侵事件不便于分析故障或入侵行为，不能再需要时作为证据

service rsyslog ststus,service auditd status,
cat /etc/audit/auditd.conf中是否配置
write_logs = yes
log_file = /var/log/audit/audit.log
log_format = RAW
max_log_file = 8
num_logs = 5
max_log_file_action = ROTATE
cat /etc/audit/audit.rules查看是否存在
-w /etc/passwd -p rwa -k passwd_changes
-w /etc/shadow -p rwa -k shadow_changes
-w /etc/sudoers -p rwa -k sudoers_changes
-w /etc/rsyslog.conf -p rwa -k rsyslog_changes
-w /etc/group -p rwa -k group_changes
-w /var/log/message -p rwa -k message_changes
-w /var/log/secure -p rwa -k secure_changes
-w /var/log/maillog -p rwa -k maillog_changes
-w /var/log/cron -p rwa -k cron_changes
-w /var/log/spooler -p rwa -k spooler_changes
-w /etc/audit/audit.rules -p rwa -k audit_changes
-w /etc/audit/rules.d/audit.rules -p rwa -k audit_changes
cat /etc/rsyslog.conf 查看是否存在
kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log

时间

• 安全审计记录未包含所有重要的审计记录字段，未配置NTP校正系统时间 • 操作：date查看当前系统时间 • • 意义：无法进行关联分析，不能及时对部分较复杂的安全事件进行发现和报警 • 操作系统未安装专门的审计进程保护软件，无法对审计进程进行保护，避免受到未预期中断，日志保留时间小于6个月 • • cat /etc/rsyslog.conf中查看是否存在 • *.* @@192.168.101.100:514 • 或询问是否存在其他措施对审计日志进行保护

更新系统内核和安装防病毒软件

• 使用命令uname -sr查看 • Centos7/RHEL7  3.10.0-1062.1.2.el7 • Cetnos6/RHEL6  2.6.32-754.23.1.el6 • 询问管理员是否有月度主机扫描报告 •

定期对操作系统进行漏洞扫描并修补发现的漏洞，未更新系统内核至官方最新安全版。

Linux系统安装杀毒软件clamav

• 在线演示 • https://www.cnblogs.com/hftian/p/11711701.html   • Webshell 样例 • • 以下是一个 php 的样例。从界面看，它的功能还是比较全的，可以对服务器的文件目录进行读写操作。如果你是网站管理员的话，肯定不希望普通用户获得下面的权限。

 

• Webshell如何被注入 • 常见的Webshell植入方式以下类型： • 利用站点上传漏洞，上传Webshell。 • 系统前台的上传业务可被利用来上传Webshell脚本，而被上传的目录往往对用户开放可执行权限。在Web中有上传图像、资料文件的地方，上传完后通常会向客户端返回上传文件的完整URL信息；该URL一般是常见的image、upload等目录。 • 如果Web服务器对网站存取权限或者文件夹目录权限控制不严，就可能被利用来实现Webshell攻击。攻击者可以利用上传功能上传一个脚本文件，然后通过URL访问并执行这个脚本；然后攻击者就可以上传Webshell到网站的任意目录中，从而拿到网站的管理员控制权限。 • 黑客获取管理员的后台密码，登录到后台系统，利用后台的管理工具向配置文件写入Webshell木马；或者私自添加上传类型，允许上传类似ASP、PHP格式的脚本程序文件。 • 利用数据库备份与恢复功能获取Webshell。例如，备份时把备份文件的后缀改成 .asp；如果后台有MySQL数据查询功能，黑客可以执行select..in To outfile查询输出PHP文件，并把代码插入到MySQL，从而生成Webshell的木马。 • 系统中其他站点被攻击，或者服务器上还搭载了FTP服务器。FTP服务器被攻击时被注入了Webshell的木马，导致网站系统被感染。 • 黑客直接攻击Web服务器系统漏洞，实现入侵。Web服务器在系统层面也可能存在漏洞，如果黑客利用其漏洞攻击服务器系统；在获取其权限后，黑客就可以在Web服务器目录里上传Webshell文件。 • • 综上，Webshell能够入侵到系统，一般是由于以下原因： • 通过Web站点漏洞上传Webshell。 • Webshell能够被注入，在很大程度是由于服务器或中间件的安全漏洞。例如，以下常见漏洞都可能被利用来注入Webshell：旧版本的IIS目录解析漏洞、文件名解析漏洞、应用后台暴露和弱口令、Fast-CGI解析漏洞、Apache文件解析漏洞、截断上传、后台数据库备份功能上传、数据库语句上传漏洞等。 • 站点部署时混入了Webshell文件。 • 大量的用户在使用从网上下载的第三方开源代码时，其代码本身已经混入了Webshell的恶意脚本，造成二次入侵或多次入侵。所以在部署前期，如果不是新开发的代码，都需要对代码进行恶意文件扫描查杀，防止上线后被入侵。

如何防止系统被植入Webshell

• 配置必要的防火墙并开启防火墙策略；防止暴露不必要的服务，为黑客提供利用条件。 • • 对服务器进行 安全加固。例如，关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议。 • • 加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限等。 • • 安装Webshell检测工具，发现检测结果后，立即隔离查杀，并排查漏洞。 • • 排查程序存在的漏洞，并及时修补漏洞。您可以通过应急响应服务人工界入，协助排查漏洞及入侵原因，同时可以选用商业Web应用防火墙进行防御，降低被入侵机率。

网站被植入Webshell的解决方案

• Webshell • 从字面上理解，”Web”指需要服务器开放Web服务，”shell”指取得对服务器的某种程度的操作权限。Webshell指匿名用户（入侵者）通过网站端口，获取网站服务器的一定操作权限。 • • Webshell通常是以ASP、PHP、JSP、ASA或者CGI等网页文件形式存在的一种命令执行环境，也称为网页后门。黑客在入侵网站后，通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起；然后使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站或者Web系统服务器的目的。 • • 黑客如果想使用Webshell完成一些特殊的功能，就不可避免地用到一些特殊函数。通过对这些函数进行对照特征值检查，就能够定位Webshell，但是Webshell本身也会进行加密来躲避这种检测。

标签：Webshell,log,账号,主机,var,etc,Linux,加固,上传
来源： https://blog.csdn.net/a2788656708/article/details/121774676

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。