linux安全检查
1 ssh后门
检察语句:
grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al

检察方法:如发现以下三个红框内的其中一个请截图并记录,基本确定为存在后门
2 nginx后门
检察语句: grep "pwnginx=" `which nginx` -al
检察方法: 如果搜出来东西基本可以确定存在后门,请截图并记录.
没有安NGINX的话可以CTRL+C退出查询
3 日志搜索
检察语句:
more /var/log/messages* |grep drawing
more /var/log/messages* | grep glistering
more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'
检察方法:以上前两个检察语句,如搜到,如下


以上两个截图搜出的主要是网卡修改信息,如有非本机的ip地址,请记录.
以下是more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'
搜索出来的登陆成功和失败的截图,请详细排查以下不认识的IP,并记录时间和IP.

4 检察异常帐户
检察语句:
more /etc/passwd
more /etc/sudoer
检察方法: 查看用户标识号:组标识号 如果其中有一个为0 即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户 如:


5 登陆IP 和时间
检察语句:
who /var/log/wtmp
检察方法:查看异常登陆时间和IP,如有异常请记录时间IP
6 异常端口检察
检察语句:
netstat -an|more
检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.
7 网卡查询
检察语句:
ifconfig
检察方法:如有异常,如网卡子接口等非自己配置的,请记录
8 利用木马扫描工具进行全站扫描
暂时比较好用的工具推荐用WINDOWS版本的工具,LINUX版本误报太多,且不利用观察.
可以把目录拷贝出来进行扫描,扫描出4-5级别的问题基本可以确认为恶意文件.
9 利用查询语句,在服务器内查询有关非法页面内包括的关键字或词,定位非法页面所在地.并查询创建时间等,并着重检查在该时间段产生的文件等
10 检察历史操作信息
检察语句:
History
检察方法”看是否有异常操作,如有异常请确认后记录
linux安全检查的更多相关文章
- 如何编写自己的Linux安全检查脚本?
因为本人工作中要涉及到很多东西,审计(日志.数据神马的).源代码审计.渗透测试.开发一大堆东西,有些东西,越是深入去做,越会发现,没有工具或脚本,工作起来是有多么的坑. 工作的这段时间,自己写了几个工 ...
- Linux 驱动开发
linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...
- 安全运维 - Linux系统攻击应急响应
Linux 应急相应 - 总纲 应急准备: 制定应急策略 组建应急团队 其他应急资源 安全事件处理: 痕迹数据获取 分析.锁定攻击源删除可疑账号关闭异常进程.端口禁用相应异常开机启动项删除异常定时任务 ...
- 安全相关的Linux知识
本文用于记录在安全中的Linux常用命令,基础命令可以移步去菜鸟教程(https://www.runoob.com/linux/linux-tutorial.html)学习 Linux重要的4个热键 ...
- Linux检查服务器是否被入侵
Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/pas ...
- Linux应急响应入门——入侵排查
点击上方"开源Linux",选择"设为星标" 回复"学习"获取独家整理的学习资料! 账号安全: 1.用户信息文件 /etc/passwd # ...
- 应急响应系列之OA被入侵挖矿分析报告
一 基本情况 1.1 简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个 ...
- Linux 常见安全检查方法
Linux 常见安全检查方法进行概要说明: 一.检查系统密码文件,查看文件修改日期 # ls -l /etc/passwd 二.查看 passwd 文件中有哪些特权用户 # awk -F: '$3= ...
- Linux 系统安全检查(shell)
脚本内容: #!/bin/bash echo " (__)" echo " (oo)" echo " /------\/ " echo &q ...
随机推荐
- openssl证书制作详细教程
自签名证书及验证 模拟证书涉及的角色 创建证书目录 mkdir ~/certs cd ~/certs 认证机构.网站.浏览器/用户 mkdir root web user 机构自签名证书生成和发布 生 ...
- 带回调函数的js运动框架
function startMove(obj, json, endFun) { //开始前关闭之前obj上的定时器 clearInterval(obj.timer); //定时器 obj.timer ...
- 关于HashTable的遍历方法解析
要遍历一个Hashtable,api中提供了如下几个方法可供我们遍历: keys() - returns an Enumeration of the keys of this Hashtable ke ...
- 条件随机场matlab程序下载
19:44:23 1 http://www.cs.ubc.ca/~murphyk/Software/CRF/crf.html matlab程序包: 该条件随机场程序(CRF)是针对语句进行标注,mat ...
- C++ 非阻塞套接字的使用 (2)
继续话题——软件中的异步非阻塞通讯方式. 由于软件基于MFC开发,所以实现异步通讯时使用了CAsyncSocket类. 首先要了解CAsyncSocket异步机制,引用自 http://blog.cs ...
- Linux内核--网络栈实现分析(三)--驱动程序层+链路层(上)
本文分析基于Linux Kernel 1.2.13 原创作品,转载请标明http://blog.csdn.net/yming0221/article/details/7497260 更多请看专栏,地址 ...
- Gbase配置
喵了个咪的.到目前为止,自己已经用过SQL SERVER,My SQL,Oracle,SQLite,加上南大通用GBASE 五种数据库了.虽然每种都用的不深 注:GBASE提供了C的API,查看手册即 ...
- Windows Server 2003搭建邮件服务器
Windows Server 2003搭建邮件服务器 由于Windows Server 2003默认是没有安装我们搭建邮件服务器所需要的POP3和SMTP服务的,因此需要我们自己来安装.方法如下: 1 ...
- spi接口的ds1302时钟芯片控制在lcd1602上显示
spi接口的ds1302时钟芯片控制在lcd1602上显示 ...
- SQLSERVER2008新增的审核/审计功能
SQLSERVER2008新增的审核/审计功能 很多时候我们都需要对数据库或者数据库服务器实例进行审核/审计 例如对失败的登录次数进行审计,某个数据库上的DDL语句进行审计,某个数据库表里面的dele ...