RKHunter是Linux系统平台下的一款开源入侵检测工具 特点 (1)安装便捷,运行快速 (2)扫描范围全,能够检测各种已知的rootkit特征码.端口扫描.常用程序文件的变动情况检查 主要功能 (1)MD5校验测试,检测任何文件是否改动 (2)检测rootkits使用的二进制和系统工具文件 (3)检测木马程序的特征码 (4)检测大多常用程序的文件异常属性 (5)扫描任何混杂模式下的接口和后门程序常用的端口 (6)检测如/etc/rc.d/目录下的所有配置文件.日志文件.任何异常的隐藏文件等…

原文:https://www.cnblogs.com/lvcisco/p/4045203.html 一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件…

安全运维之:Linux后门入侵检测工具的使用 https://blog.csdn.net/exitgogo/article/details/39547113…

Linux  入侵检测小结 0x00 审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录.关机.重启等情况:这个命令就是将/var/log/wtmp文件格式化输出. lastb:这个命令用于查看登录失败的情况:这个命令就是将/var/log/btmp文件格式化输出. lastlog:这个命令用于查看用户上一次的登录情况:这个命令就是将/var/log/lastlog文件格式化输出. who:这个命令用户查看当前登录系统的情况:这个命令就是将/var/l…

一.AIDE AIDE全称为(Adevanced Intrusion Detection Environment)是一个入侵检测工具,主要用于检查文件的完整性,审计系统中的工具是否被更改过. AIDE会构造一个数据库文件,当系统在稳定时将全部或指定的文件属性以密文的形式保存至数据库中.文件属性包括:权限.索引节点号.所属用户.所属用户组.文件大小.mtime.atime.ctime以及连接数. 安装 [root@centos7 ~]$yum install -y aide 配置文件详解 #定义了…

Netstat命令可以帮助我们了解网络的整体使用情况.根据Netstat后面参数的不同,它可以显示不同的网络连接信息.Netstat的参数如图,下面对其中一些参数进行说明.如何检测本机是否有被中木马,电脑系统后台是否已被秘密操控,是否被监听.今天跟大家讲下如何查询可疑连接,调用任务管理器Ctrl+Shift+ESC组合键,找到对应的PID数值,右击结束进程. Windows自带强大的入侵检测工具——Netstat 命令 查询是否中木马 一.netstat命令详解 1.netstat -a -a显…

转自:http://blog.jobbole.com/77663/ 官网 ClamAV杀毒软件介绍 ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件.ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了.另外它主要是来防护一些WINDOWS病毒和木马程序.另外,这是一个面向服务端的软件. 下载ClamAV安装包 ClamAV的官方下载地址为http://www.clamav.net/d…

一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通…

一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通…

https://sourceforge.net/projects/sentrytools/ [root@localhost ~]# tar -xzvf portsentry-1.2.tar.gz [root@localhost ~]# cd portsentry_beta/ [root@localhost portsentry_beta]# ls CHANGES portsentry.c portsentry_io.c README.COMPAT CREDITS portsentry.conf…

一.检查系统日志 检查系统错误登陆日志,统计IP重试次数 # 这里使用了lastb命令,该命令需要root权限,可以显示所有登陆信息.这里仅仅显示的root用户的,读者可以更具实际情况自行确定,或者直接全部都显示,你会有不一样的收获,每个人的脚本都不一样,更具实际情况自行编写. # lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more 以下是我部署在阿里云上主机被多次扫描的日志 isadmin  ssh:notty   …

PIDSTAT NAME pidstat对linux任务的统计 语法 pidstat [ -C comm ] [ -d ] [ -h ] [ -I ] [ -l ] [ -p { pid [,...] | SELF | ALL } ] [ -r ] [ -t ] [ -T { TASK | CHILD | ALL } ] [ -u ] [ -V ] [ -w ] [ interval [ count ] ] 描述 pidstat命令用来监控当前被linux内核管理的独立的任务.输出-p参数的每个…

TOP NAME 显示linux任务 语法 top -hv | -abcHimMsS -d delay -n iterations -p pid [, pid ...] 描述 top程序提供了系统实时信息,显示系统的总体信息和一组由内核管理的任务,系统总体信息的类型,和任务列表上类型,顺序和大小信息,都可以由用户配置,重启机制就有效. 提供了有限的一些交互接口让用户配置,涵盖了操作的每个方面.当top引用这个文件,可以随意命名top程序,然后当读写一个配置文件的时候新的名称会被引用到top的显示…

FREE NAME free显示系统可用内存和已使用内存 语法 free [-b | -k | -m] [-o] [-s delay ] [-t] [-l] [-V] 描述 free显示了总可用和被用的物理内存和 swap 内存,也包括内核使用的 buffer ,shared memory已经被废弃 选项          [-b | -k | -m]     -b 以字节为单位, -k 以kb 为单位(默认), -m 以mb 为单位          -t                   …

SAR NAME: SAR报告,收集,保存系统活动信息 语法: sar  [ -A ] [ -b ] [ -B ] [ -C ] [ -d ] [ -h ] [ -i interval ] [ -m ] [-p ] [ -q ] [ -r ] [ -R ] [ -S ] [ -t ] [ -u [ ALL ] ] [ -v ] [ -V ]  [-w  ]  [  -W  ] [ -y ] [ -j { ID | LABEL | PATH | UUID | ... } ] [ -n {keywo…

IOSTAT NAME:          Iostat, 报告CPU的统计,和 I/O的统计. 语法: iostat  [ -c ] [ -d ] [ -N ] [ -n ] [ -h ] [ -k | -m ] [ -t] [ -V ] [ -x ] [ -y ] [ -z ] [ -j { ID | LABEL  |  PATH  |UUID  | ... } [ device [...] | ALL ] ] [ device [...] | ALL] [ -p [ device [,..…

### 前言 Linux系统中存在用户态与内核态,当用户态的进程需要申请某些系统资源时便会发起系统调用.而内核态如何将系统的相关信息实时反馈给用户态呢,便是通过proc文件系统.如此便营造了一个相对隔离的环境. 那么proc文件系统是如何呈现我们平时最关心的进程/网络连接信息的呢?在/proc目录下存在着一些以数字命名的目录,这些数字便对应了系统中正在运行的进程的pid.自然,对应进程的一些相关信息便保存在/proc/{pid}目录下.比如/proc/{pid}/fd目录中就保存了进程打开的文件…

vmstat 有2个参数,第一个是采样时间间隔(单位是s),第二个参数是采样个数. #表示 2s采样一次,一共采样2次 vmstat 2 2 也可以只写第一个参数,让系统一直采样直到停止(ctrl + c) 指标详解: r 表示运行队列(就是说多少个进程真的分配到CPU),我测试的服务器目前CPU比较空闲,没什么程序在跑,当这个值超过了CPU数目,就会出现CPU瓶颈了. b 表示阻塞的进程,这个不多说,进程阻塞,大家懂的. swpd 虚拟内存已使用的大小,如果大于0,表示你的机器物理内存不足了,…

find / -mtime 0 #0代表目前时间,表示从现在开始到24小时以前,有改动过内容的文件全都会被列出来.如果是3天前24小时内,则使用find / -mtime 3 find /etc -newer /etc/passwd #查找/etc下面文件日期比/etc/passwd新的文件…

…

DF NAME: df 报告了文件系统的使用 语法: df [OPTION]... [FILE]... 描述: Df显示了以文件名为从参数查看所在文件系统的可用空间.如果没有指定文件那么会显示所有的文件系统,磁盘空间默认是1k block,除非POSIXLY_CORRECT被设置,这样就会使用512-byte块. 如果参数提供了一个绝对路径,df会显示包含了这个绝对路径的文件系统,而不是包含了这个设备节点的文件系统, 如:df /boot/grub 显示的文件系统是/boot而不是/(根文件).…

VMSTAT NAME:          Vmstat: 报告虚拟内存统计 语法 :        vmstat [-a] [-n] [-t] [-S unit] [delay [ count]]        vmstat [-s] [-n] [-S unit]        vmstat [-m] [-n] [delay [ count]]        vmstat [-d] [-n] [delay [ count]]        vmstat [-p disk partition]…

队长让俺瞅瞅snort,没想到安装配置都遇到问题...整理下过程,给跟我一样的家伙看看.. 由于本人机器是ubuntu,apt-get 几下就可以了,其实网上有不少这样的文章...之所以还要写就是...看他们的文章踩到坑了 ubuntu安装 sudo apt-get install snort sudo apt-get install -f #如果缺少啥包,可以用这个命令,会自动下载安装关联包,如果可以正常使用,该命令可忽略 sudo apt-get install snort-mysql #把…

1. 关于rootkit rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马. rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统. rootkit主要有两种类型:文件级别和内核级别. 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修…

一.AIDE的概念 AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文档的完整性.AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档.AIDE数据库能够保存文档的各种属性,包括:权限(permission).索引节点序号(inode number).所属用户(user).所属用户组(group).文档大小.最后修改时间(mtime).…

一.AIDE简介 • AIDE(Advanced Intrusion Detection Environment)• 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了.• AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件.AIDE数据库能够保存文件的各种属性,包括:权限(permission).索引节点序号(inode number).所属用户(user).所属用户组(group).文件大小.最后修改时间(mtime)…

网络入侵检测规避工具fragrouter   网络入侵检测系统可以通过拦截数据包,获取内容进而判断是否为恶意数据包.对于传输较大的数据包,通常会采用分片的方式,将大数据包拆分为小数据包进行传输.如果入侵检测系统不具备数据包重组功能,就无法侦测到分片的恶意数据包.   而Kali Linux提供的fragrouter就是基于该漏洞开发的规避工具.该工具可以拦截发送给网卡的数据,进行重新分片,然后再发送.它支持22种分片方式.这些分片方式采用乱序.重复分片.空包.交叉发包等措施,以规避检测系统.使用…

检查系统信息.用户账号信息 ● 操作系统信息 cat /proc/version 用户信息 用户信息文件 /etc/passwd root:x:0:0:root:/root:/bin/bash 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell 查看哪些用户为root权限,有没有新增的 cat /etc/passwd | grep x:0 查询特权用户特权用户(uid 为0) awk -F: '{if($3==0)print $1}' /etc/passwd 注: gues…

目前在linux开发一个分析实时路况的应用程序,在联合测试中发现程序存在内存泄露的情况. 这下着急了,马上就要上线了,还好发现了一款Valgrind工具,完美的解决了内存泄露的问题. 推荐大家可以使用看看. Valgrind是运行在Linux上一套基于仿真技术的程序调试和分析工具,它的主要作者是获得过Google-O'Reilly开源大奖的Julian Seward,它包含一个内核──一个软件合成的CPU,和一系列的小工具,每个工具都可以完成一项任务──调试,分析,或测试等.Valgrind可以…

Linux IO时事检测工具iostat iostat命令用于检测linux系统io设备的负载情况,运行iostat将显示自上次运行该命令以后的统计信息.用户可以通过指定统计的次数和时间来获得所需的统计信息. iostat -d -k 1 10 参数 -d 表示,显示设备(磁盘)使用状态:-k某些使用block为单位的列强制使用Kilobytes为单位:1表示,数据显示每隔1秒刷新一次,10表示总共统计10次.如下所示: Linux 3.13.0-52-generic (hello1-Syste…