来自--马哥Linux运维

1.入侵者可能会删除机器的日志信息 ,可以查看日志信息是否存在后者被清除

[root@zklf-server02 ~]# ll -h /var/log/

total 3.4M

drwxr-xr-x.  root   root     Nov  : anaconda

drwx------.  root   root      Feb  : audit

-rw-------.  root   utmp       Feb   : btmp

-rw-------.  root   utmp       Jan   : btmp-

drwxr-xr-x.  chrony chrony     Apr    chrony

-rw-------.  root   root    56K Feb  : cron

[root@zklf-server02 ~]# du -sh /var/log/*

2.2M    /var/log/anaconda

29M    /var/log/audit

0    /var/log/btmp

0    /var/log/btmp-20190201

0    /var/log/chrony

56K    /var/log/cron

2.入侵者可能创建一个新的文件存放用户名和密码

[root@zklf-server02 ~]# ll /etc/pass*

-rw-r--r--.  root root  Dec  : /etc/passwd

-rw-r--r--.  root root  Dec  : /etc/passwd-

3.可能会修改用户名和密码

[root@zklf-server02 ~]# tail - /etc/passwd

smmsp:x::::/var/spool/mqueue:/sbin/nologin

samba:x::::/home/samba:/sbin/nologin

mysql:x::::/home/mysql:/sbin/nologin

tss:x:::Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin

memcached:x:::Memcached daemon:/run/memcached:/sbin/nologin

[root@zklf-server02 ~]# tail - /etc/shadow

smmsp:!!:::::::

samba:!!:::::::

mysql:!!:::::::

tss:!!:::::::

memcached:!!:::::::

4.查看机器最近成功登陆事件和最后一次登陆不成功的事件

[root@zklf-server02 ~]# lastlog

Username         Port     From             Latest

root             pts/                     Mon Feb  :: +

bin                                        **Never logged in**

daemon                                     **Never logged in**

adm                                        **Never logged in**

lp                                         **Never logged in**

sync                                       **Never logged in**

shutdown                                   **Never logged in**

5.查看机器当前登陆的全部用户,对应的日志文件  /var/run/utmp

[root@zklf-server02 ~]# who

zklf     pts/        -- : (192.168.10.208)

6.查看机器创建以来登陆过的用户,对应的日志文件 "/var/log/wtmp"

zklf     pts/        192.168.10.208   Mon Feb  :   still logged in

zklf     pts/        192.168.10.208   Wed Feb  : - :  (:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

zklf     pts/        192.168.10.208   Tue Jan  : - : (+:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

7.查看机器所有用户的连接事件(小时),对应的日志文件 “/var/log/wtmp”

ac -dp

8.如果发现机器产生了异常流量,可以使用tcpdump抓取网络包,使用nethogs可查看实时流量

9.可以查看/var/log/secure 日志文件,尝试发现入侵者的信息

[root@zklf-server02 ~]# cat /var/log/secure |grep -i 'accepted password'

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

 root                  R   0.3  0.0   :00.11 top

b.在虚拟文件系统目录寻找对应的可执行文件

[root@zklf-server02 ~]# ll /proc// |grep -i exe

lrwxrwxrwx.  zklf zklf  Feb  : exe -> /usr/bin/top

排查Linux机器是否已被入侵的更多相关文章

  1. 排查Linux机器是否已经被入侵

    随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentO ...

  2. 如何排查 Linux 机器是否已经被入侵?

    原文: https://mp.weixin.qq.com/s/XP0eD40zpwajdv11bsbKkw http://www.cnblogs.com/stonehe/p/7562374.html ...

  3. 【转载】排查Linux机器是否已经被入侵

          背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root ...

  4. 排查linux系统是否被入侵

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

  5. Linux检查服务器是否被入侵

    Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/pas ...

  6. Linux机器24项安全合规设置

    工作的一些内容,这是中国移动集团当前linux机器安全合规标准,找了点时间将其归类,并查了一些资料,每项配置是什么意思,不仅要知其然,还要知其所以然.好记性不如烂笔头. 1.  检查FTP配置-限制用 ...

  7. 利用ganymed-ssh2远程执行其它Linux机器上的shell命令

    实际应用中,有时候需要从web管理界面上,远程去启动其它linux主机上的程序,利用ssh协议可以方便的满足这一需求.事实上hadoop架构中,从nn上启动dn时,就是利用了免密码ssh登录.gany ...

  8. 在Linux机器上安装MySQL

    在Linux机器上安装MySQL,仔细认真些就没有问题. CentOS 7下MySQL 5.7安装.配置与应用_数据库技术_Linux公社-Linux系统门户网站 搞不定的话,直接删掉这个MySQL, ...

  9. Linux 机器的渗透测试命令备忘表

    如下是一份 Linux 机器的渗透测试备忘录,是在后期开发期间或者执行命令注入等操作时的一些典型命令,设计为测试人员进行本地枚举检查之用. 系统信息命令 对于本地的枚举检查很有用. 基于 Redhat ...

随机推荐

  1. jqueryui组件progressbar进度条和日期组件datepickers的简单使用

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  2. pipeline

    执行顺序:pipeline 写 pipeline类class Scrapyproject1Pipeline(object): def process_item(self, item, spider): ...

  3. 部署apache-tomcat环境

    软件体系: C/S:客户端/服务器,例如qq等app都属于C/S体系,除了编写服务端代码还需要编写客户端 优点:展现比较好,客户端会承受一点运算压力,安全性比较好 缺点:更新服务端的同时还需要更新客户 ...

  4. ECS分区挂载数据盘

    地址:https://help.aliyun.com/document_detail/25426.html?spm=5176.11065259.1996646101.searchclickresult ...

  5. Java常见runtime exception

    ArithmeticException,:算数异常ArrayStoreException,数组存储异常BufferOverflowException,编码出错异常 解决方法: 使用Eclipse开发一 ...

  6. Confluence 6 生产环境备份策略

    如果你是下面的情况,Confluence 的自动每日 XML 备份可能适合你: 正在评估使用 Confluence 你对数据库的管理并不是非常熟悉同时你的 Confluence 安装实例的数据量并不大 ...

  7. css之操作属性

    1.文本 1.文本颜色:color 颜色属性被用来设置文字的颜色. 颜色是通过CSS最经常的指定: 十六进制值 - 如: #FF0000 一个RGB值 - 如: RGB(255,0,0) 颜色的名称 ...

  8. 图书管理系统(无中间件,用装饰器的)-----未基于FORM组件

    目的:实现图书的增删改查 models.py from django.db import models # Create your models here. class Book(models.Mod ...

  9. 恢复误删的DB table数据

    由于一时手误输入了 DELETE FROM TABLE WHERE age REGEXP '\d';导致这个表的数据被删除 解决方法: 登录mysql,查看目前的binlog文件 mysql> ...

  10. 性能测试四十六:Linux 从网卡模拟延时和丢包的实现

    Linux 中模拟延时和丢包的实现 使用ifconfig命令查看网卡 Linux 中使用 tc 进行流量管理.具体命令的使用参考 tc 的 man 手册,这里简单记录一下使用 tc 模拟延时和丢包的命 ...