来自--马哥Linux运维 1.入侵者可能会删除机器的日志信息 ,可以查看日志信息是否存在后者被清除 [root@zklf-server02 ~]# ll -h /var/log/ total 3.4M drwxr-xr-x. root root Nov : anaconda drwx------. root root Feb : audit -rw-------. root utmp Feb : btmp -rw-------. root utmp Jan : btmp- drwxr-xr-x…

随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hlmcen69n3 ~]# ll -h /var/log/* -rw-------. 1 root root 2.6K Jul 7 18:3…

原文: https://mp.weixin.qq.com/s/XP0eD40zpwajdv11bsbKkw http://www.cnblogs.com/stonehe/p/7562374.html 随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考. 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似. 1.入侵者可能会删除机器的日志信息,可以查看…

      背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hlmcen69n3 ~]# ll -h /var/log/* -rw-------. 1 root root 2.6K Jul 7 18:31 /var/log/anaconda.ifcfg.log -rw-------. 1 root root 23K Jul 7 18:31 /var/log…

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [r…

Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/passwd 查看空口令 awk -F: 'length(2)==0 {print}' /etc/shadow 查询可以远程登录的帐号,即:/bin/shell awk '/\$1|\$6/{print $1}' /etc/shadow 检查sudo权限 more /etc/sudoers | grep…

工作的一些内容,这是中国移动集团当前linux机器安全合规标准,找了点时间将其归类,并查了一些资料,每项配置是什么意思,不仅要知其然,还要知其所以然.好记性不如烂笔头. 1.  检查FTP配置-限制用户FTP登录 控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限. 操作: (1)vsftp: # vi /etc/vsftp/vsftpd.conf 手动将userlist_enable改为yes //限制/etc/vsftpd/user_lis…

实际应用中,有时候需要从web管理界面上,远程去启动其它linux主机上的程序,利用ssh协议可以方便的满足这一需求.事实上hadoop架构中,从nn上启动dn时,就是利用了免密码ssh登录.ganymed-ssh2是一个实现了ssh协议的开源项目,项目地址为:http://ganymed-ssh-2.googlecode.com/ (下载源码要翻强,众所周知的原因),如果只是使用的话,pom.xml添加以下依赖项就行了: <dependency> <groupId>ch.ethz…

在Linux机器上安装MySQL,仔细认真些就没有问题. CentOS 7下MySQL 5.7安装.配置与应用_数据库技术_Linux公社-Linux系统门户网站 搞不定的话,直接删掉这个MySQL,然后把/etc/my.cnf也干掉.重新安装一边,Linux系统没有注册表之类的玩意,安装很简单. 比较容易出错的地方就是这个/etc/my.cnf: [mysql] # 设置mysql客户端默认字符集 default-character-set=utf8 socket=/usr/local/lib…

如下是一份 Linux 机器的渗透测试备忘录,是在后期开发期间或者执行命令注入等操作时的一些典型命令,设计为测试人员进行本地枚举检查之用. 系统信息命令 对于本地的枚举检查很有用. 基于 Redhat / CentOS / RPM 的发行版 YUM 命令 基于 RPM 的系统使用了包管理器, 你可以用这些命令获取到有关已安装包或者其它工具的有用信息. 基于 Debian / Ubuntu / .deb 的发行版 Linux 用户管理 Linux 解压缩命令 如何在 Linux 上解析不同的压缩包…