11个审查Linux是否被入侵的方法
11个审查Linux是否被入侵的方法
一、检查系统日志
lastb命令
检查系统错误登陆日志,统计IP重试次数
二、检查系统用户
1、cat /etc/passwd
查看是否有异常的系统用户
2、grep “0” /etc/passwd
查看是否产生了新用户,UID和GID为0的用户
3、ls -l /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户
4、查看是否存在特权用户
awk -F: ‘$3= =0 {print $1}’ /etc/passwd
5、查看是否存在空口令帐户
awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow
三、检查异常进程
1、注意UID为0的进程
使用ps -ef命令查看进程
2、察看该进程所打开的端口和文件
lsof -p pid命令查看
3、检查隐藏进程
- ps -ef | awk ‘{print }’ | sort -n | uniq >1
- ls /porc |sort -n|uniq >2
- diff 1 2
四、检查异常系统文件
- find / -uid 0 –perm -4000 –print
- find / -size +10000k –print
- find / -name “…” –print
- find / -name “.. “–print
- find / -name “. “ –print
- find / -name “ “ –print
五、检查系统文件完整性
- rpm –qf /bin/ls
- rpm -qf /bin/login
- md5sum –b 文件名
- md5sum –t 文件名
六、检查RPM的完整性
- rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs七、检查网络
- ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)
- lsof –i
- netstat –nap(察看不正常打开的TCP/UDP端口)
- arp –a
八、检查系统计划任务
- crontab –u root –l
- cat /etc/crontab
- ls /etc/cron.*
九、检查系统后门
- cat /etc/crontab
- ls /var/spool/cron/
- cat /etc/rc.d/rc.local
- ls /etc/rc.d
- ls /etc/rc3.d
十、检查系统服务
- chkconfig —list
- rpcinfo -p(查看RPC服务)
十一、检查rootkit
- rkhunter -c
- chkrootkit -q
转载:原文:http://www.centoscn.cn/2663.html
11个审查Linux是否被入侵的方法的更多相关文章
- Linux 主机被入侵后的处理案例
Linux主机被入侵后的处理案例 提交 我的留言 加载中 已留言 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Lin ...
- IEEE802.11数据帧在Linux上的抓取
IEEE802.11数据帧在Linux上的抓取终于得到了梦寐的<802.11无线网络权威指南>,虽然是复印版本,看起来也一样舒服,光看书是不行的,关键还是自己练习,这就需要搭建一个舒服的实 ...
- linux系统被入侵后处理经历【转】
背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流 ...
- 记一次Linux系统被入侵的过程
记一次Linux系统被入侵的过程 1. 前期现象 前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重.因为这台机器是通过楼下adsl拨号上网, ...
- Linux服务器被入侵后的处理过程(转发阿良)
Linux服务器被入侵后的处理过程 突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况. 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 ...
- linux下定时执行任务方法【转】
之前就转过一篇关于定时任务的文章,前俩天用,还的翻出来看!!!再转一次,备用,,需要的时候不用麻烦找! ----------------------------------------------- ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- Linux的段错误调试方法
linux段错误的调试方法 相关博文: http://blog.csdn.net/htianlong/article/details/7439030 http://www.cnblogs.com/pa ...
- [Linux/Ubuntu] vi/vim 使用方法讲解(转载)
转自:http://www.cnblogs.com/emanlee/archive/2011/11/10/2243930.html vi/vim 基本使用方法 vi编辑器是所有Unix及Linux系统 ...
随机推荐
- xcode8权限以及相关设置
我们需要打开info.plist文件添加相应权限的说明,否则程序在iOS10上会出现崩溃. 具体如下图: QQ20160914-0.png 注意,添加的时候,末尾不要有空格麦克风权限:Privacy ...
- codevs 1082 线段树区间求和
codevs 1082 线段树练习3 链接:http://codevs.cn/problem/1082/ sumv是维护求和的线段树,addv是标记这歌节点所在区间还需要加上的值. 我的线段树写法在运 ...
- (一)java arcgis开发环境搭建
一,整个开发环境 OS:Win7 Development: eclipse 4.3.2 框架:spring+springMVC+mybatis+jquery Arcgis版本:10.2 desktop ...
- Linux ——————用Secure传文件时直接拖了文件用的是AssIC导致linux那边直乱码
如下: 解决办法: 直接删除.
- [LeetCode] Pacific Atlantic Water Flow 太平洋大西洋水流
Given an m x n matrix of non-negative integers representing the height of each unit cell in a contin ...
- [LeetCode] Binary Tree Preorder Traversal 二叉树的先序遍历
Given a binary tree, return the preorder traversal of its nodes' values. For example:Given binary tr ...
- python基础-面向对象进阶
一.什么是反射 反射的概念是由Smith在1982年首次提出的,主要是指程序可以访问.检测和修改它本身状态或行为的一种能力(自省).这一概念的提出很快引发了计算机科学领域关于应用反射性的研究.它首先被 ...
- 查看mysql语句运行时间的2种方法
网站运行很慢的时候,我就特别起知道为什么这么慢,所以我查啊查,数据库绝对是很重要的一部分,里面运行的sql是绝对不能放过的.平时做项目的时候,我也会注意sql语句的书写,写出一些高效的sql来,所以我 ...
- sed awk grep三剑客常用
sed的常用用法: awk的常用用法: grep的常用用法: 除了列出符合行之外,并且列出后10行. grep -A 10 Exception kzfinance-front.log 除了列出符合行之 ...
- caffe代码调试小结
RELULayer层 bottom[0]->count=n*c*w*h=50*96*56*56 count=50*96*56*56,根据bottom_data[i]访问所有的数据(多维数组都是一 ...