来自--马哥Linux运维

1.入侵者可能会删除机器的日志信息 ,可以查看日志信息是否存在后者被清除

[root@zklf-server02 ~]# ll -h /var/log/
total 3.4M
drwxr-xr-x. root root Nov : anaconda
drwx------. root root Feb : audit
-rw-------. root utmp Feb : btmp
-rw-------. root utmp Jan : btmp-
drwxr-xr-x. chrony chrony Apr chrony
-rw-------. root root 56K Feb : cron [root@zklf-server02 ~]# du -sh /var/log/*
2.2M /var/log/anaconda
29M /var/log/audit
0 /var/log/btmp
0 /var/log/btmp-20190201
0 /var/log/chrony
56K /var/log/cron

2.入侵者可能创建一个新的文件存放用户名和密码

[root@zklf-server02 ~]# ll /etc/pass*
-rw-r--r--. root root Dec : /etc/passwd
-rw-r--r--. root root Dec : /etc/passwd-

3.可能会修改用户名和密码

[root@zklf-server02 ~]# tail - /etc/passwd
smmsp:x::::/var/spool/mqueue:/sbin/nologin
samba:x::::/home/samba:/sbin/nologin
mysql:x::::/home/mysql:/sbin/nologin
tss:x:::Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
memcached:x:::Memcached daemon:/run/memcached:/sbin/nologin [root@zklf-server02 ~]# tail - /etc/shadow
smmsp:!!:::::::
samba:!!:::::::
mysql:!!:::::::
tss:!!:::::::
memcached:!!:::::::

4.查看机器最近成功登陆事件和最后一次登陆不成功的事件

[root@zklf-server02 ~]# lastlog
Username Port From Latest
root pts/ Mon Feb :: +
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**

5.查看机器当前登陆的全部用户,对应的日志文件  /var/run/utmp

[root@zklf-server02 ~]# who
zklf pts/ -- : (192.168.10.208)

6.查看机器创建以来登陆过的用户,对应的日志文件 "/var/log/wtmp"

zklf     pts/        192.168.10.208   Mon Feb  :   still logged in
zklf pts/ 192.168.10.208 Wed Feb : - : (:)
zklf pts/ 192.168.10.208 Thu Jan : - : (:)
zklf pts/ 192.168.10.208 Tue Jan : - : (+:)
zklf pts/ 192.168.10.208 Thu Jan : - : (:)

7.查看机器所有用户的连接事件(小时),对应的日志文件 “/var/log/wtmp”

ac -dp

8.如果发现机器产生了异常流量,可以使用tcpdump抓取网络包,使用nethogs可查看实时流量

9.可以查看/var/log/secure 日志文件,尝试发现入侵者的信息

[root@zklf-server02 ~]# cat /var/log/secure |grep -i 'accepted password'
Feb :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port ssh2
Feb :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port ssh2

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

 root                  R   0.3  0.0   :00.11 top      

b.在虚拟文件系统目录寻找对应的可执行文件

[root@zklf-server02 ~]# ll /proc// |grep -i exe
lrwxrwxrwx. zklf zklf Feb : exe -> /usr/bin/top

排查Linux机器是否已被入侵的更多相关文章

  1. 排查Linux机器是否已经被入侵

    随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentO ...

  2. 如何排查 Linux 机器是否已经被入侵?

    原文: https://mp.weixin.qq.com/s/XP0eD40zpwajdv11bsbKkw http://www.cnblogs.com/stonehe/p/7562374.html ...

  3. 【转载】排查Linux机器是否已经被入侵

          背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root ...

  4. 排查linux系统是否被入侵

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

  5. Linux检查服务器是否被入侵

    Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/pas ...

  6. Linux机器24项安全合规设置

    工作的一些内容,这是中国移动集团当前linux机器安全合规标准,找了点时间将其归类,并查了一些资料,每项配置是什么意思,不仅要知其然,还要知其所以然.好记性不如烂笔头. 1.  检查FTP配置-限制用 ...

  7. 利用ganymed-ssh2远程执行其它Linux机器上的shell命令

    实际应用中,有时候需要从web管理界面上,远程去启动其它linux主机上的程序,利用ssh协议可以方便的满足这一需求.事实上hadoop架构中,从nn上启动dn时,就是利用了免密码ssh登录.gany ...

  8. 在Linux机器上安装MySQL

    在Linux机器上安装MySQL,仔细认真些就没有问题. CentOS 7下MySQL 5.7安装.配置与应用_数据库技术_Linux公社-Linux系统门户网站 搞不定的话,直接删掉这个MySQL, ...

  9. Linux 机器的渗透测试命令备忘表

    如下是一份 Linux 机器的渗透测试备忘录,是在后期开发期间或者执行命令注入等操作时的一些典型命令,设计为测试人员进行本地枚举检查之用. 系统信息命令 对于本地的枚举检查很有用. 基于 Redhat ...

随机推荐

  1. json-lib转化java对象,是否转化为null的属性

    public static void main(String[] args) throws Exception{ User user = new User(); user.setUid(25); Js ...

  2. 快速安装freeswitch

    前不久在Centos 6.4上安装了一台Freeswitch,测试已经OK.为了测试FS 的集群效果,从新在安装一台FS,快速安装的过程如下: 方案一:快速安装前提:不用重新下载Freeswitch. ...

  3. mysql 5.7 Group Replication

    MySQL 组复制实现了基于复制协议的多主更新(单主模式). 复制组由多个 server成员构成,并且组中的每个 server 成员可以独立地执行事务.但所有读写(RW)事务只有在冲突检测成功后才会提 ...

  4. PHP字符串比较,看起来值完全一样,但是就是不相等的解决方案(‌)

    1 前言 字符串比较,看起来完全一样,然后用strcmp比较,永远不相等,用var_dump查看才知道,其中一个字符多了‌看不见的特殊符号,而我长度是3. 2 样例 当你选中它,显示出来的就是人眼所见 ...

  5. Jquyer table 中的数据分页

    直接上代码,复制出来就可以使用 <!DOCTYPE html> <html> <head lang="en"> <meta charset ...

  6. Hive学习01-基础常见问题

      理论: 什么是hive: 1. Hive旨在实现轻松的数据汇总,即时查询和分析大量数据. 2. 它提供了SQL,使用户可以轻松地进行临时查询,汇总和数据分析. 3. Hive可以使用用户定义函数( ...

  7. Vue中的render函数随笔

    使用vue-cli创建项目后,再main.js里面有这样一段代码: new Vue({ render:h => h(App) }).$mount('#app') render函数是渲染一个视图, ...

  8. css 样式 记录

    /* Track */::-webkit-scrollbar-track { -webkit-box-shadow: inset 0 0 6px rgba(0,0,0,0.3); -webkit-bo ...

  9. nikto for windows(web扫描工具) 使用教程

    本文出处: 欧普软件 ----------------------------------------------------------------------------------------- ...

  10. 关于vue的基础概念

    vue-cli相当于脚手架 给你自动生成模板工程vue-router是 vue路由插件 支持你单页应用的vue-loader是webpack下loader插件 可以把.vue文件 输出成组件