1 ssh后门

检察语句:

grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al

检察方法:如发现以下三个红框内的其中一个请截图并记录,基本确定为存在后门

2 nginx后门

检察语句: grep "pwnginx=" `which nginx` -al

检察方法: 如果搜出来东西基本可以确定存在后门,请截图并记录.

没有安NGINX的话可以CTRL+C退出查询

3 日志搜索

检察语句:

more /var/log/messages* |grep drawing

more /var/log/messages* | grep glistering

more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'

检察方法:以上前两个检察语句,如搜到,如下

以上两个截图搜出的主要是网卡修改信息,如有非本机的ip地址,请记录.

以下是more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'

搜索出来的登陆成功和失败的截图,请详细排查以下不认识的IP,并记录时间和IP.

4 检察异常帐户

检察语句:

more /etc/passwd

more /etc/sudoer

检察方法: 查看用户标识号:组标识号 如果其中有一个为0 即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户  如:

5 登陆IP 和时间

检察语句:

who /var/log/wtmp

检察方法:查看异常登陆时间和IP,如有异常请记录时间IP

6 异常端口检察

检察语句:

netstat -an|more

检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.

7 网卡查询

检察语句:

ifconfig

检察方法:如有异常,如网卡子接口等非自己配置的,请记录

8 利用木马扫描工具进行全站扫描

暂时比较好用的工具推荐用WINDOWS版本的工具,LINUX版本误报太多,且不利用观察.

可以把目录拷贝出来进行扫描,扫描出4-5级别的问题基本可以确认为恶意文件.

9 利用查询语句,在服务器内查询有关非法页面内包括的关键字或词,定位非法页面所在地.并查询创建时间等,并着重检查在该时间段产生的文件等

10 检察历史操作信息

检察语句:

History

检察方法”看是否有异常操作,如有异常请确认后记录

linux安全检查的更多相关文章

  1. 如何编写自己的Linux安全检查脚本?

    因为本人工作中要涉及到很多东西,审计(日志.数据神马的).源代码审计.渗透测试.开发一大堆东西,有些东西,越是深入去做,越会发现,没有工具或脚本,工作起来是有多么的坑. 工作的这段时间,自己写了几个工 ...

  2. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  3. 安全运维 - Linux系统攻击应急响应

    Linux 应急相应 - 总纲 应急准备: 制定应急策略 组建应急团队 其他应急资源 安全事件处理: 痕迹数据获取 分析.锁定攻击源删除可疑账号关闭异常进程.端口禁用相应异常开机启动项删除异常定时任务 ...

  4. 安全相关的Linux知识

    本文用于记录在安全中的Linux常用命令,基础命令可以移步去菜鸟教程(https://www.runoob.com/linux/linux-tutorial.html)学习 Linux重要的4个热键 ...

  5. Linux检查服务器是否被入侵

    Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/pas ...

  6. Linux应急响应入门——入侵排查

    点击上方"开源Linux",选择"设为星标" 回复"学习"获取独家整理的学习资料! 账号安全: 1.用户信息文件 /etc/passwd # ...

  7. 应急响应系列之OA被入侵挖矿分析报告

    一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个 ...

  8. Linux 常见安全检查方法

    Linux 常见安全检查方法进行概要说明: 一.检查系统密码文件,查看文件修改日期 # ls -l /etc/passwd 二.查看 passwd 文件中有哪些特权用户 # awk -F: '$3= ...

  9. Linux 系统安全检查(shell)

    脚本内容: #!/bin/bash echo " (__)" echo " (oo)" echo " /------\/ " echo &q ...

随机推荐

  1. 最喜欢的算法(们) - Levenshtein distance

    String Matching: Levenshtein distance Purpose: to use as little effort to convert one string into th ...

  2. JS动态级联菜单

    JS动态级联菜单是前端常用的一个功能,特此抽时间研究了下,附上代码 <html> <head> <meta charset="utf-8" /> ...

  3. [Leetcode][JAVA] Recover Binary Search Tree (Morris Inorder Traversal)

    Two elements of a binary search tree (BST) are swapped by mistake. Recover the tree without changing ...

  4. 【转】windows消息和消息队列详解

    转载出处:http://blog.csdn.net/bichenggui/article/details/4677494  windows消息和消息队列 与基于MS - DOS的应用程序不同,Wind ...

  5. Vue.js多重组件嵌套

    Vue.js多重组件嵌套 Vue.js中提供了非常棒的组件化思想,组件提高了代码的复用性.今天我们来实现一个形如 <app> <app-header></app-head ...

  6. 解剖SQLSERVER 第十三篇 Integers在行压缩和页压缩里的存储格式揭秘(译)

    解剖SQLSERVER 第十三篇    Integers在行压缩和页压缩里的存储格式揭秘(译) http://improve.dk/the-anatomy-of-row-amp-page-compre ...

  7. javascript 设计模式-----享元模式

    四个轮子,一个方向盘,有刹车,油门,车窗,这些词首先让人联想到的就是一辆汽车.的确,这些都是是一辆车的最基本特征,或者是属性,我们把词语抽象出来,而听到这些词语的人把他们想象陈一辆汽车.在代码里面也是 ...

  8. Java虚拟机10:类加载器

    类与类加载器 虚拟机设计团队把类加载阶段张的"通过一个类的全限定名来获取此类的二进制字节流"这个动作放到Java虚拟机外部去实现,以便让应用程序自己决定如何去获取所需要的类.实现这 ...

  9. 继电器是如何成为CPU的(2)

    继电器是如何成为CPU的(2) ——<穿越计算机的迷雾>整理和总结 上一篇已经从电池.开关.灯泡和继电器开始,画出了设计CPU所需的基本器件.这些器件将成为设计CPU的砖瓦木料.这一篇就用 ...

  10. C# socket编程实践——支持广播的简单socket服务器

    在上篇博客简单理解socket写完之后我就希望写出一个websocket的服务器了,但是一路困难重重,还是从基础开始吧,先搞定C# socket编程基本知识,写一个支持广播的简单server/clie ...