来自--马哥Linux运维

1.入侵者可能会删除机器的日志信息 ,可以查看日志信息是否存在后者被清除

[root@zklf-server02 ~]# ll -h /var/log/

total 3.4M

drwxr-xr-x.  root   root     Nov  : anaconda

drwx------.  root   root      Feb  : audit

-rw-------.  root   utmp       Feb   : btmp

-rw-------.  root   utmp       Jan   : btmp-

drwxr-xr-x.  chrony chrony     Apr    chrony

-rw-------.  root   root    56K Feb  : cron

[root@zklf-server02 ~]# du -sh /var/log/*

2.2M    /var/log/anaconda

29M    /var/log/audit

0    /var/log/btmp

0    /var/log/btmp-20190201

0    /var/log/chrony

56K    /var/log/cron

2.入侵者可能创建一个新的文件存放用户名和密码

[root@zklf-server02 ~]# ll /etc/pass*

-rw-r--r--.  root root  Dec  : /etc/passwd

-rw-r--r--.  root root  Dec  : /etc/passwd-

3.可能会修改用户名和密码

[root@zklf-server02 ~]# tail - /etc/passwd

smmsp:x::::/var/spool/mqueue:/sbin/nologin

samba:x::::/home/samba:/sbin/nologin

mysql:x::::/home/mysql:/sbin/nologin

tss:x:::Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin

memcached:x:::Memcached daemon:/run/memcached:/sbin/nologin

[root@zklf-server02 ~]# tail - /etc/shadow

smmsp:!!:::::::

samba:!!:::::::

mysql:!!:::::::

tss:!!:::::::

memcached:!!:::::::

4.查看机器最近成功登陆事件和最后一次登陆不成功的事件

[root@zklf-server02 ~]# lastlog

Username         Port     From             Latest

root             pts/                     Mon Feb  :: +

bin                                        **Never logged in**

daemon                                     **Never logged in**

adm                                        **Never logged in**

lp                                         **Never logged in**

sync                                       **Never logged in**

shutdown                                   **Never logged in**

5.查看机器当前登陆的全部用户,对应的日志文件  /var/run/utmp

[root@zklf-server02 ~]# who

zklf     pts/        -- : (192.168.10.208)

6.查看机器创建以来登陆过的用户,对应的日志文件 "/var/log/wtmp"

zklf     pts/        192.168.10.208   Mon Feb  :   still logged in

zklf     pts/        192.168.10.208   Wed Feb  : - :  (:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

zklf     pts/        192.168.10.208   Tue Jan  : - : (+:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

7.查看机器所有用户的连接事件(小时),对应的日志文件 “/var/log/wtmp”

ac -dp

8.如果发现机器产生了异常流量,可以使用tcpdump抓取网络包,使用nethogs可查看实时流量

9.可以查看/var/log/secure 日志文件,尝试发现入侵者的信息

[root@zklf-server02 ~]# cat /var/log/secure |grep -i 'accepted password'

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

 root                  R   0.3  0.0   :00.11 top

b.在虚拟文件系统目录寻找对应的可执行文件

[root@zklf-server02 ~]# ll /proc// |grep -i exe

lrwxrwxrwx.  zklf zklf  Feb  : exe -> /usr/bin/top

排查Linux机器是否已被入侵的更多相关文章

  1. 排查Linux机器是否已经被入侵

    随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentO ...

  2. 如何排查 Linux 机器是否已经被入侵?

    原文: https://mp.weixin.qq.com/s/XP0eD40zpwajdv11bsbKkw http://www.cnblogs.com/stonehe/p/7562374.html ...

  3. 【转载】排查Linux机器是否已经被入侵

          背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root ...

  4. 排查linux系统是否被入侵

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

  5. Linux检查服务器是否被入侵

    Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/pas ...

  6. Linux机器24项安全合规设置

    工作的一些内容,这是中国移动集团当前linux机器安全合规标准,找了点时间将其归类,并查了一些资料,每项配置是什么意思,不仅要知其然,还要知其所以然.好记性不如烂笔头. 1.  检查FTP配置-限制用 ...

  7. 利用ganymed-ssh2远程执行其它Linux机器上的shell命令

    实际应用中,有时候需要从web管理界面上,远程去启动其它linux主机上的程序,利用ssh协议可以方便的满足这一需求.事实上hadoop架构中,从nn上启动dn时,就是利用了免密码ssh登录.gany ...

  8. 在Linux机器上安装MySQL

    在Linux机器上安装MySQL,仔细认真些就没有问题. CentOS 7下MySQL 5.7安装.配置与应用_数据库技术_Linux公社-Linux系统门户网站 搞不定的话,直接删掉这个MySQL, ...

  9. Linux 机器的渗透测试命令备忘表

    如下是一份 Linux 机器的渗透测试备忘录,是在后期开发期间或者执行命令注入等操作时的一些典型命令,设计为测试人员进行本地枚举检查之用. 系统信息命令 对于本地的枚举检查很有用. 基于 Redhat ...

随机推荐

  1. vue2.x + vux采坑总结(一)

    1.<tab-bar> 切换时,iocn高亮跟着切换问题 vux的Tabbar组件是用来实现底部tab栏,详情见官网文档 , 实现实例截图: 代码如下,控制高亮的是代码凸显部分:selec ...

  2. ubuntu html5开发工具brackets

    Brackets 是一款使用 HTML,CSS,JavaScript 创建的开源的针对 Web 开发的编辑器.实时预览,快速编辑,跨平台,可扩展,开源,让 Brackets 成为一款非常优秀的编辑器. ...

  3. 文件缓存tmpfs简单使用

    文件缓存tmpfs基于内存的文件系统,直接使用ram(物理内存)+swap(交换分区) tmpfs缓存文件系统/dev/shm共享内存动态的使用虚拟内存,文件删除后释放内存 特性:1.动态空间使用和动 ...

  4. UDP/TCP拾遗

    1.UDP的特点 (1)UDP 是无连接的,即发送数据之前不需要建立连接. (2)UDP 使用尽最大努力交付,即不保证可靠交付,同时也不使用拥塞控制. (3)UDP 是面向报文的.UDP 没有拥塞控制 ...

  5. centos如何安装Python3

    Linux下默认系统自带python2.6的版本,这个版本被系统很多程序所依赖,所以不建议删除,如果使用最新的Python3那么我们知道编译安装源码包和系统默认包之间是没有任何影响的,所以可以安装py ...

  6. 解决访问swaggerUI接口文档显示basic-error-controler问题

    问题描述 使用swagger生成接口文档后,访问http://localhost:8888/swagger-ui.html#/,显示如下: 有些强迫症的我,感觉看起来很不舒服,结果百度了好久,找到解决 ...

  7. Socket通讯成功案例

    Socket通讯案例 #region 服务端 //int port = 1234; //string host = "127.0.0.1"; //IPAddress ip = IP ...

  8. win 系统设置weblogic 进行定时自动重启并删除其日志和缓存文件,定时监控cpu是否达到100%并重启weblogic服务

    一:如何在win系统设置 任务管理:请百度查询 win系统设置 任务管理 二:设置 webogic 重启并删除垃圾文件的bat脚本 sqlplus /nolog @C:\Users\Administr ...

  9. Confluence 6 配置 workbox 通知

    你可以在你的 Confluence workbox 中查看和管理应用内的通知和任务.更多的,你可以在 Confluence workbox 中从接收到从 JIRA 和其他 Confluence 服务器 ...

  10. 用ngif 多次判断 Expression has changed after it was checked

    昨天遇到一个问题 ,用ng Expression has changed after it was checked 查了一下说在angular2中,这个错误只会在dev开发模式下出现,在pro发布版本 ...