11个审查Linux是否被入侵的方法
11个审查Linux是否被入侵的方法
一、检查系统日志
lastb命令
检查系统错误登陆日志,统计IP重试次数
二、检查系统用户
1、cat /etc/passwd
查看是否有异常的系统用户
2、grep “0” /etc/passwd
查看是否产生了新用户,UID和GID为0的用户
3、ls -l /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户
4、查看是否存在特权用户
awk -F: ‘$3= =0 {print $1}’ /etc/passwd
5、查看是否存在空口令帐户
awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow
三、检查异常进程
1、注意UID为0的进程
使用ps -ef命令查看进程
2、察看该进程所打开的端口和文件
lsof -p pid命令查看
3、检查隐藏进程
- ps -ef | awk ‘{print }’ | sort -n | uniq >1
- ls /porc |sort -n|uniq >2
- diff 1 2
四、检查异常系统文件
- find / -uid 0 –perm -4000 –print
- find / -size +10000k –print
- find / -name “…” –print
- find / -name “.. “–print
- find / -name “. “ –print
- find / -name “ “ –print
五、检查系统文件完整性
- rpm –qf /bin/ls
- rpm -qf /bin/login
- md5sum –b 文件名
- md5sum –t 文件名
六、检查RPM的完整性
- rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs七、检查网络
- ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)
- lsof –i
- netstat –nap(察看不正常打开的TCP/UDP端口)
- arp –a
八、检查系统计划任务
- crontab –u root –l
- cat /etc/crontab
- ls /etc/cron.*
九、检查系统后门
- cat /etc/crontab
- ls /var/spool/cron/
- cat /etc/rc.d/rc.local
- ls /etc/rc.d
- ls /etc/rc3.d
十、检查系统服务
- chkconfig —list
- rpcinfo -p(查看RPC服务)
十一、检查rootkit
- rkhunter -c
- chkrootkit -q
转载:原文:http://www.centoscn.cn/2663.html
11个审查Linux是否被入侵的方法的更多相关文章
- Linux 主机被入侵后的处理案例
Linux主机被入侵后的处理案例 提交 我的留言 加载中 已留言 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Lin ...
- IEEE802.11数据帧在Linux上的抓取
IEEE802.11数据帧在Linux上的抓取终于得到了梦寐的<802.11无线网络权威指南>,虽然是复印版本,看起来也一样舒服,光看书是不行的,关键还是自己练习,这就需要搭建一个舒服的实 ...
- linux系统被入侵后处理经历【转】
背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流 ...
- 记一次Linux系统被入侵的过程
记一次Linux系统被入侵的过程 1. 前期现象 前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重.因为这台机器是通过楼下adsl拨号上网, ...
- Linux服务器被入侵后的处理过程(转发阿良)
Linux服务器被入侵后的处理过程 突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况. 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 ...
- linux下定时执行任务方法【转】
之前就转过一篇关于定时任务的文章,前俩天用,还的翻出来看!!!再转一次,备用,,需要的时候不用麻烦找! ----------------------------------------------- ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- Linux的段错误调试方法
linux段错误的调试方法 相关博文: http://blog.csdn.net/htianlong/article/details/7439030 http://www.cnblogs.com/pa ...
- [Linux/Ubuntu] vi/vim 使用方法讲解(转载)
转自:http://www.cnblogs.com/emanlee/archive/2011/11/10/2243930.html vi/vim 基本使用方法 vi编辑器是所有Unix及Linux系统 ...
随机推荐
- java util 下的concurrent包
------------------------------------------java util 下的concurrent包--------并发包--------------------.jav ...
- HTML 学习笔记 JavaScript(call方法详解)
http://www.cnblogs.com/f-dream/p/4950918.html
- LA 3231 - Fair Share
You are given N processors and M jobs to be processed. Two processors are specified to each job. To ...
- ActiveMQ笔记(4):搭建Broker集群(cluster)
上一篇介绍了基于Networks of Borkers的2节点HA方案,这一篇继续来折腾Networks of Brokers,当应用规模日渐增长时,2节点的broker可能仍然抗不住访问压力,这时候 ...
- [LeetCode] Binary Tree Upside Down 二叉树的上下颠倒
Given a binary tree where all the right nodes are either leaf nodes with a sibling (a left node that ...
- Codeforces Round #385(div 2)
A =w= B QwQ C 题意:n个点m条边的无向图,其中有k个特殊点,你在这张图上尽可能多的连边,要求k个特殊点两两不连通,问最多能连多少边 分析:并查集 对原图做一次并查集,找出特殊点所在集合中 ...
- 如何理解 卷积 和pooling
转自:http://blog.csdn.net/malefactor/article/details/51078135 CNN是目前自然语言处理中和RNN并驾齐驱的两种最常见的深度学习模型.图1展示了 ...
- iOS开发小技巧 - label中的文字添加点击事件
Label中的文字添加点击事件 GitHub地址:https://github.com/lyb5834/YBAttributeTextTapAction 以前老师讲过类似的功能,自己懒得回头看了,找了 ...
- ITIL十大流程
1.服务水平管理(Service Level Management):服务水平管理的目标是通过协调IT用户和提供者双方的观点,实现特定的.一致的.可测量的服务水平,以为客户节省成本.提高用户生产率. ...
- thinkcmf导航制作
<?php $tree = sp_get_menu_tree('main'); ?> <foreach name="tree" item="vo&quo ...