加入收藏 | 设为首页 | 会员中心 | 我要投稿 湖南网 (https://www.hunanwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 业界 > 正文

Linux处事器安详变乱应急的一些漫笔 - 备份篇

发布时间:2018-08-30 23:44:47 所属栏目:业界 来源:硬土壳安全
导读:9月15日技能沙龙 | 怎样将智能化和运维事变相团结,实现智能运维! 媒介 最近连着遇到几起Linux处事器的安详应急相应,之前这方面的履历也不是很足,都是平常刷刷各人写的文章靠着一些Linux下的基本常识去说明着这屡次遇到的变乱,过后想想,在面临这屡次的

建设loop装备

  1. # losetup /dev/loop0 bak.img 
  2.  
  3. # fdisk -lDisk /dev/loop0: 8 GiB, 8589934592 bytes, 16777216 sectors 
  4. Units: sectors of 1 * 512 = 512 bytes 
  5. Sector size (logical/physical): 512 bytes / 512 bytes 
  6. I/O size (minimum/optimal): 512 bytes / 512 bytes 
  7. Disklabel type: dos 
  8. Disk identifier: 0x000a7707Device       Boot    Start      End  Sectors   Size Id Type 
  9. /dev/loop0p1 *          63 16273844 16273782   7.8G 8e Linux LVM 
  10. /dev/loop0p2      16273845 16771859   498015 243.2M  5 Extended 
  11. /dev/loop0p5      16273908 16771859   497952 243.1M 83 Linux 

通过fdisk -l 我们可以看到我们的镜像中有三个分区,以是我们必要将每个分区单独映射出来,然后再举办挂载。

这里通过kpartx来举办分区表的读取和映射

  1. # kpartx -av /dev/loop0  
  2. add map loop0p1 (254:0): 0 16273782 linear 7:0 63add map loop0p2 (254:1): 0 2 linear 7:0 16273845add map loop0p5 (254:2): 0 497952 linear 7:0 16273908 

映射完毕后我们通过

  1. ls -l /dev/mapper/ 
  2.  
  3. lrwxrwxrwx 1 root root       7 Nov  6 07:46 brokenwebapps-root -> ../dm-3lrwxrwxrwx 1 root root       7 Nov  6 07:46 brokenwebapps-swap_1 -> ../dm-4crw------- 1 root root 10, 236 Nov  6 07:46 control 
  4. lrwxrwxrwx 1 root root       7 Nov  6 07:46 loop0p1 -> ../dm-0lrwxrwxrwx 1 ro 

查察下映射相关。Linux下的mapper装备是内核中提供的一种从逻辑装备到物理装备的映射机制,通过该装备我们可以很清晰的看到root分区地址位置

mount挂载

下面我们将root分区挂载到我们的test目次

  1. # mount /dev/mapper/brokenwebapps-root /test/ 

切换到test目次查察,整个文件体系已经被还原到我们的说明体系上

下面我们就可以在我们的说明体系上对被入侵主机举办越发深入的说明白

卸载

  1. # umount /dev/mapper/brokenwebapps-root卸载kpartx映射# kpartx -dv /dev/loop0若无法卸载可先通过lvremove呼吁卸载映射出的逻辑装备再通过kpartx卸载映射 
  2. 卸载loop装备# losetup -a        查察当前建设的loop装备/dev/loop0: [2049]:2107674 (/root/bak.img)# losetup -d /dev/loop0    卸载 

内存镜像备份

测试情形:

  1. Linux kali 4.9.0-kali4-amd64 #1 SMP Debian 4.9.30-2kali1 (2017-06-22) x86_64 GNU/Linux 

在较量老的Linux上,凡是内核版本为2.6以下的,应该是还可以通过dd呼吁举办内存镜像备份的

呼吁或许长这样:

  1. dd if=/dev/mem of=dumpmem.dd bs=1024 

通过dd呼吁dump出/dev/mem装备的内容完成内存的备份,可是2.6以下版本的内核在泛泛也许不是太多见以是我也没详细测试这个呼吁导出的详细结果。

2.6及以上的版本因为Linux安详性要求,其开始限定我们直接对体系内存的会见。以是内存的备份我们也许要违反一下初心,必要引用第三方的模块来完成我们的事变

一开始我实行行使的器材是fmem,他通过将本身加载到Linux内核中运行,通过建设/dev/fmem装备使我们可以继承行使dd呼吁来备份我们的内存。若何我没编译乐成,由于找的模仿情形为owasp的一个裂痕情形,然而其源已经毗连不上了导致我无法去更新内核的开拓包,也就没法编译乐成了,转战kali,编译也出题目,或许也是内核版本不匹配,有机遇在研究下能不能搞定他。

前面说到因为一开始用的情形无法更新内核开拓包了,以是注明下以下的操纵皆在kali下完成的,kali的详细内核版本开头已声名

在继承说内存镜像备份前先瞎说一波内核模块的加载,横竖也不是什么正儿八经的接头内核

先引用下度娘百科吧。

(编辑:湖南网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.hunanwang.cn/ All Rights Reserved. 湖南网