1 ssh后门

检察语句:

grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al

检察方法:如发现以下三个红框内的其中一个请截图并记录,基本确定为存在后门

2 nginx后门

检察语句: grep "pwnginx=" `which nginx` -al

检察方法: 如果搜出来东西基本可以确定存在后门,请截图并记录.

没有安NGINX的话可以CTRL+C退出查询

3 日志搜索

检察语句:

more /var/log/messages* |grep drawing

more /var/log/messages* | grep glistering

more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'

检察方法:以上前两个检察语句,如搜到,如下

以上两个截图搜出的主要是网卡修改信息,如有非本机的ip地址,请记录.

以下是more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'

搜索出来的登陆成功和失败的截图,请详细排查以下不认识的IP,并记录时间和IP.

4 检察异常帐户

检察语句:

more /etc/passwd

more /etc/sudoer

检察方法: 查看用户标识号:组标识号 如果其中有一个为0 即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户  如:

5 登陆IP 和时间

检察语句:

who /var/log/wtmp

检察方法:查看异常登陆时间和IP,如有异常请记录时间IP

6 异常端口检察

检察语句:

netstat -an|more

检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.

7 网卡查询

检察语句:

ifconfig

检察方法:如有异常,如网卡子接口等非自己配置的,请记录

8 利用木马扫描工具进行全站扫描

暂时比较好用的工具推荐用WINDOWS版本的工具,LINUX版本误报太多,且不利用观察.

可以把目录拷贝出来进行扫描,扫描出4-5级别的问题基本可以确认为恶意文件.

9 利用查询语句,在服务器内查询有关非法页面内包括的关键字或词,定位非法页面所在地.并查询创建时间等,并着重检查在该时间段产生的文件等

10 检察历史操作信息

检察语句:

History

检察方法”看是否有异常操作,如有异常请确认后记录

linux安全检查的更多相关文章

  1. 如何编写自己的Linux安全检查脚本?

    因为本人工作中要涉及到很多东西,审计(日志.数据神马的).源代码审计.渗透测试.开发一大堆东西,有些东西,越是深入去做,越会发现,没有工具或脚本,工作起来是有多么的坑. 工作的这段时间,自己写了几个工 ...

  2. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  3. 安全运维 - Linux系统攻击应急响应

    Linux 应急相应 - 总纲 应急准备: 制定应急策略 组建应急团队 其他应急资源 安全事件处理: 痕迹数据获取 分析.锁定攻击源删除可疑账号关闭异常进程.端口禁用相应异常开机启动项删除异常定时任务 ...

  4. 安全相关的Linux知识

    本文用于记录在安全中的Linux常用命令,基础命令可以移步去菜鸟教程(https://www.runoob.com/linux/linux-tutorial.html)学习 Linux重要的4个热键 ...

  5. Linux检查服务器是否被入侵

    Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/pas ...

  6. Linux应急响应入门——入侵排查

    点击上方"开源Linux",选择"设为星标" 回复"学习"获取独家整理的学习资料! 账号安全: 1.用户信息文件 /etc/passwd # ...

  7. 应急响应系列之OA被入侵挖矿分析报告

    一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个 ...

  8. Linux 常见安全检查方法

    Linux 常见安全检查方法进行概要说明: 一.检查系统密码文件,查看文件修改日期 # ls -l /etc/passwd 二.查看 passwd 文件中有哪些特权用户 # awk -F: '$3= ...

  9. Linux 系统安全检查(shell)

    脚本内容: #!/bin/bash echo " (__)" echo " (oo)" echo " /------\/ " echo &q ...

随机推荐

  1. Python socket (单线程)

    client, 客户端 code : 客户端主要方法, s.send(); s.sendall(); s.recv(); s.connect() class Client(object): def _ ...

  2. 使用小技巧,让你高效使用Eclipse

    1.自动完成--Eclipse有一个自动完成代码功能,快捷键是ctrl + space.当点击时就会弹出一个对话框,上面有与前后文相关的一些建议.只要有一个可能性,Eclipse就会替你完成. 2.快 ...

  3. MVC4 学习笔记 之 URL中存在编译的空格 20%20%

    /Config/Edit/QQCC%20%20%20%20%20%20%20 原因是: 通过EF直接添加了空格? NO 是因为你的数据库字段设计问题,因为你当然设计如>:sID nchar(10 ...

  4. Await, and UI, and deadlocks! Oh my!

    It’s been awesome seeing the level of interest developers have had for the Async CTP and how much us ...

  5. ubuntu使用经验整理

     ===================================================== 清理/boot分区 =================================== ...

  6. windows配置php开发环境

    1.安装xampp. xampp集成了php.prel.mysql.apache等网站工具,安装超简单,本身也超级好用.点击下载xampp 2.讲xmapp中的php配置到环境变量 比如我的xampp ...

  7. highcharts 不显示X轴 Y轴 刻度

    xAxis: { tickWidth:0,        //设置刻度标签宽度 lineColor:'#ffffff',//设置坐标颜色 lineWidth:0,        //设置坐标宽度 la ...

  8. rhel 5.8下静默安装oracle11gr2

    1.图形界面下录制脚本如下: #-------------------------------------------------------------------------------# Do ...

  9. 分享工作中遇到的问题积累经验 事务日志太大导致insert不进数据

    分享工作中遇到的问题积累经验 事务日志太大导致insert不进数据 今天开发找我,说数据库insert不进数据,叫我看一下 他发了一个截图给我 然后我登录上服务器,发现了可疑的地方,而且这个数据库之前 ...

  10. TCPDF 6.0.036 发布,PHP 的 PDF 操作包

    TCPDF 6.0.036 包含对注册色彩的支持. TCPDF是一个用于快速生成PDF文件的PHP5函数包.TCPDF基于FPDF进行扩展和改进.支持UTF-8,Unicode,HTML和XHTML.