来自--马哥Linux运维

1.入侵者可能会删除机器的日志信息 ,可以查看日志信息是否存在后者被清除

[root@zklf-server02 ~]# ll -h /var/log/

total 3.4M

drwxr-xr-x.  root   root     Nov  : anaconda

drwx------.  root   root      Feb  : audit

-rw-------.  root   utmp       Feb   : btmp

-rw-------.  root   utmp       Jan   : btmp-

drwxr-xr-x.  chrony chrony     Apr    chrony

-rw-------.  root   root    56K Feb  : cron

[root@zklf-server02 ~]# du -sh /var/log/*

2.2M    /var/log/anaconda

29M    /var/log/audit

0    /var/log/btmp

0    /var/log/btmp-20190201

0    /var/log/chrony

56K    /var/log/cron

2.入侵者可能创建一个新的文件存放用户名和密码

[root@zklf-server02 ~]# ll /etc/pass*

-rw-r--r--.  root root  Dec  : /etc/passwd

-rw-r--r--.  root root  Dec  : /etc/passwd-

3.可能会修改用户名和密码

[root@zklf-server02 ~]# tail - /etc/passwd

smmsp:x::::/var/spool/mqueue:/sbin/nologin

samba:x::::/home/samba:/sbin/nologin

mysql:x::::/home/mysql:/sbin/nologin

tss:x:::Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin

memcached:x:::Memcached daemon:/run/memcached:/sbin/nologin

[root@zklf-server02 ~]# tail - /etc/shadow

smmsp:!!:::::::

samba:!!:::::::

mysql:!!:::::::

tss:!!:::::::

memcached:!!:::::::

4.查看机器最近成功登陆事件和最后一次登陆不成功的事件

[root@zklf-server02 ~]# lastlog

Username         Port     From             Latest

root             pts/                     Mon Feb  :: +

bin                                        **Never logged in**

daemon                                     **Never logged in**

adm                                        **Never logged in**

lp                                         **Never logged in**

sync                                       **Never logged in**

shutdown                                   **Never logged in**

5.查看机器当前登陆的全部用户,对应的日志文件  /var/run/utmp

[root@zklf-server02 ~]# who

zklf     pts/        -- : (192.168.10.208)

6.查看机器创建以来登陆过的用户,对应的日志文件 "/var/log/wtmp"

zklf     pts/        192.168.10.208   Mon Feb  :   still logged in

zklf     pts/        192.168.10.208   Wed Feb  : - :  (:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

zklf     pts/        192.168.10.208   Tue Jan  : - : (+:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

7.查看机器所有用户的连接事件(小时),对应的日志文件 “/var/log/wtmp”

ac -dp

8.如果发现机器产生了异常流量,可以使用tcpdump抓取网络包,使用nethogs可查看实时流量

9.可以查看/var/log/secure 日志文件,尝试发现入侵者的信息

[root@zklf-server02 ~]# cat /var/log/secure |grep -i 'accepted password'

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

 root                  R   0.3  0.0   :00.11 top

b.在虚拟文件系统目录寻找对应的可执行文件

[root@zklf-server02 ~]# ll /proc// |grep -i exe

lrwxrwxrwx.  zklf zklf  Feb  : exe -> /usr/bin/top

排查Linux机器是否已被入侵的更多相关文章

  1. 排查Linux机器是否已经被入侵

    随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentO ...

  2. 如何排查 Linux 机器是否已经被入侵?

    原文: https://mp.weixin.qq.com/s/XP0eD40zpwajdv11bsbKkw http://www.cnblogs.com/stonehe/p/7562374.html ...

  3. 【转载】排查Linux机器是否已经被入侵

          背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root ...

  4. 排查linux系统是否被入侵

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

  5. Linux检查服务器是否被入侵

    Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/pas ...

  6. Linux机器24项安全合规设置

    工作的一些内容,这是中国移动集团当前linux机器安全合规标准,找了点时间将其归类,并查了一些资料,每项配置是什么意思,不仅要知其然,还要知其所以然.好记性不如烂笔头. 1.  检查FTP配置-限制用 ...

  7. 利用ganymed-ssh2远程执行其它Linux机器上的shell命令

    实际应用中,有时候需要从web管理界面上,远程去启动其它linux主机上的程序,利用ssh协议可以方便的满足这一需求.事实上hadoop架构中,从nn上启动dn时,就是利用了免密码ssh登录.gany ...

  8. 在Linux机器上安装MySQL

    在Linux机器上安装MySQL,仔细认真些就没有问题. CentOS 7下MySQL 5.7安装.配置与应用_数据库技术_Linux公社-Linux系统门户网站 搞不定的话,直接删掉这个MySQL, ...

  9. Linux 机器的渗透测试命令备忘表

    如下是一份 Linux 机器的渗透测试备忘录,是在后期开发期间或者执行命令注入等操作时的一些典型命令,设计为测试人员进行本地枚举检查之用. 系统信息命令 对于本地的枚举检查很有用. 基于 Redhat ...

随机推荐

  1. $Django patch与put,视图组件,路由控制,响应器

    1 patch与put(幂等?回顾) PATCH 与 PUT 属性上的一个重要区别还在于:PUT 是幂等的,而 PATCH 不是幂等的.幂等是一个数学和计算机学概念,在计算机范畴内表示一个操作执行任意 ...

  2. centos7怎么永久修改hosname

    centos7怎么永久修改hosname 其实,一般来说安装好虚拟机之后,一般都会进行修改hostname,之前也是在修改的时候,遇到过问题,但是没有深究,今天在修改的时候,好好研究了一下,之前看到好 ...

  3. Linux内存使用调整

    前段时间在做播放器的时候,遇到个问题,花了很长时间,做个记录,希望对有需要的人有所帮助: 播放器的播视频的时候,无论是手动切换视频还是到视频播放完成,自动切换视频,一定次数后均出现黑屏现象,偶尔有声音 ...

  4. Swift 学习- 02 -- 基础部分2

    class NamedShape{ var numberOfSides: Int = 0 var name: String init(name: String) { self.name = name ...

  5. Confluence 6 连接到 Jira 用户管理的限制

    当你在使用 JIRA 目录为用户目录的时候,请考虑下面的一些限制和建议. 不知道跨平台的多应用单点登录 当你使用 JIRA 为你的目录管理器的时候,系统将不能支持跨平台的单点登录.当 JIRA 用作目 ...

  6. dubbo源码之服务发布与注册

    服务端发布流程: dubbo 是基于 spring 配置来实现服务的发布的,对于dubbo 配置文件中看到的<dubbo:service>等标签都是服务发布的重要配置 ,对于这些提供可配置 ...

  7. 【ES】学习10-聚合3

    聚合是在查询匹配的文档中做统计的 不指定查询语句时,从所有文档中匹配. 下面两个语句等价: GET /cars/transactions/_search { , "aggs" : ...

  8. eclipse php pdt插件安装

    安装动态语言工具包: help->new install software->work with 框输入 http://download.eclipse.org/technology/dl ...

  9. laravel CSRF 保护

    在开始之前让我们来实现上述表单访问伪造的完整示例,为简单起见,我们在路由闭包中实现所有业务代码: Route::get('task/{id}/delete', function ($id) { ret ...

  10. CF1000G

    蜜汁树形dp... 首先分析一下:他要求一条边至多只能经过两次,那么很容易会发现:从x到y这一条路径上的所有边都只会被经过一次.(如果过去再回来那么还要过去,这样就三次了,显然不合法) 那么其他能产生 ...