今天继续检查我的Linux,所以下来rkhunter和chkrootkit一个一个来,下面只记录命令,少些说明不截图了. 1.rkhunter #cd /temp #wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.4.tar.gz?use_mirror=jaist #tar -zxvf rkhunter-1.3.4.tar.gz #cd rkhunter-1.3.4 #./installer.sh -h #./install…

11个审查Linux是否被入侵的方法 一.检查系统日志 lastb命令 检查系统错误登陆日志,统计IP重试次数 二.检查系统用户 1.cat /etc/passwd 查看是否有异常的系统用户 2.grep "0" /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 3.ls -l /etc/passwd 查看passwd的修改时间,判断是否在不知的情况下添加用户 4.查看是否存在特权用户 awk -F: '$3= =0 {print $1}' /etc/passwd…

转载 本文给大家收集整理了一些审查Linux系统是否被入侵的方法,这些方法可以添加到你运维例行巡检中. 1. 检查帐户 代码如下: # less /etc/passwd # grep :0: /etc/passwd(检查是否产生了新用户,和UID.GID是0的用户) # ls -l /etc/passwd(查看文件修改日期) # awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户) # awk -F: ‘length($2)= =0 {print…

一. 系统状态备份 主要是网络.服务.端口.进程等状态信息的备份工作 系统服务备份: chkconfig --list > services.log 进程备份: ps -ef > ps.log 监听端口备份: netstat -utnpl > port-listen.log 系统所有端口情况: netstat -ano > port-all.log 二. 断开和限制对外连接 iptables -A OUTPUT -o lo -j ACCEPT 允许本机访问本机 iptables -…

Linux系统安全笔记 https://insecure.org/https://sectools.org/SecTools.Org:排名前125的网络安全工具 http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.htmlhttps://www.ibm.com/developerworks/cn/education/linux/l-harden-desktop/l-harden-desktop-pdf.pdf增强 Linu…

一.检查系统日志 检查系统错误登陆日志,统计IP重试次数 # 这里使用了lastb命令,该命令需要root权限,可以显示所有登陆信息.这里仅仅显示的root用户的,读者可以更具实际情况自行确定,或者直接全部都显示,你会有不一样的收获,每个人的脚本都不一样,更具实际情况自行编写. # lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more 以下是我部署在阿里云上主机被多次扫描的日志 isadmin  ssh:notty   …

一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大量发包: .... 不要着急,喝一杯82年的美年达压压惊,希望本文可以对你有所帮助. 二.排查流程 0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被修改的JS…

  信息安全        这两天突然发现我们的服务器产生大量DNS解析连线.为了查明问题,就下载网上找工具检查问题所在.用了两个工具,一个chkrootkit,另外一个rootkit huntur.在使用了这两个产品后,觉得rootkit的信息更加详细一些.现在就对两个工具的操作和使用写一个记录,也方便之后自己查看.   1. chkrootkit的使用 project: http://www.chkrootkit.org download: ftp://ftp.pangeia.com.br/…

---恢复内容开始--- rkhunter简介: 中文名叫"Rootkit猎手", rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描.常用程序文件的变动情况检查. rkhunter的官方网站位于http://www.rootkit.nl/,目前最新的版本是rkhunter-1.4.2. rootkit是什么? rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文…

tar xf chkrootkit.tar.gz cd chkrootkit-* make sense的时候出现make: *** [strings-static] Error 1,解决办法:yum install glibc-static -y 即可 cd ../ cp -r chkrootkit-* /usr/local/chkrootkit rm -rf chkrootkit-* 用法: /usr/local/chkrootkit/chkrootkit [root@svn tools]#…

目录 . Chkrootkit Introduce . Source Code Frame . chklastlog.c . chkwtmp.c . ifpromisc.c . chkproc.c . chkdirs.c . check_wtmpx.c . strings.c . chkrootkit的使用场景及其局限 1. Chkrootkit Introduce chkrootkit是一个Linux系统下的查找检测rootkit后门的工具,需要明白的是,chkrootkit是一款ring3级…

#!/bin/bash if [ ! -d /soft ];thenmkdir /soft fiwhich rkhunterif [ $? -eq 0 ];then echo "rkhunter is already install!!!"elsewget http://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gzmv rkhunter-1.4.2.tar.gz /soft/c…

RKHunter是Linux系统平台下的一款开源入侵检测工具 特点 (1)安装便捷,运行快速 (2)扫描范围全,能够检测各种已知的rootkit特征码.端口扫描.常用程序文件的变动情况检查 主要功能 (1)MD5校验测试,检测任何文件是否改动 (2)检测rootkits使用的二进制和系统工具文件 (3)检测木马程序的特征码 (4)检测大多常用程序的文件异常属性 (5)扫描任何混杂模式下的接口和后门程序常用的端口 (6)检测如/etc/rc.d/目录下的所有配置文件.日志文件.任何异常的隐藏文件等…

rkhunter是专业检测系统是否感染rootkit的一个工具: rkhunter-1.4.2.tar.gz 解压后直接安装: #./installer.sh --layout defualt --install #rkhunter --help #rkhunter -c -c, --check                       Check the local system 检测结果的详细日志默认保留在:/var/log/rkhunter.log 跳过输入回车,自动运行#rkhunte…

Chkrootkit是一个在本地系统检查rootkit痕迹的工具,它是检查系统二进制文件是否被rootkit病毒修改的一个shell脚本. (1)centerOS安装chkrootkit 安装gcc编译环境yum install gcc gcc-c++ make -y 安装chkrootkit.tar.gz 解压后执行 #make sense 安装过程中常见报错 #make sensecc -DHAVE_LASTLOG_H -o chklastlog chklastlog.ccc -DHAVE_…

一.AIDE AIDE全称为(Adevanced Intrusion Detection Environment)是一个入侵检测工具,主要用于检查文件的完整性,审计系统中的工具是否被更改过. AIDE会构造一个数据库文件,当系统在稳定时将全部或指定的文件属性以密文的形式保存至数据库中.文件属性包括:权限.索引节点号.所属用户.所属用户组.文件大小.mtime.atime.ctime以及连接数. 安装 [root@centos7 ~]$yum install -y aide 配置文件详解 #定义了…

chkrootkit检测时,发现一个Xor.DDoS内容,内容如下...Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed...最后通过国外的一篇文章,解决了此问题,因为/tmp下只要有可执行文件就会看到这个误报 参考: https://blog.whsir.com/post-2471.html…

rootkit从浅显的层面来讲即一种具有自我隐蔽性的后门程序,它往往被入侵者作为一种入侵工具.通过rootkit,入侵者可以偷偷控制被入侵的电脑,因此危害巨大.chkrootkit是一个Linux系统下的查找检测rootkit后门的工具.本文将介绍chkrootkit的安装与使用方法. chkrootkit没有包含在官方的CentOS或Debian源,因此我们将采取手动编译的方法来安装,这种方式也更加安全.由于需要编译源代码,因此还需要在系统中安装好gcc编译包. 安装方法 1.准备gcc编译环…

0 0 * * 0 /usr/local/bin/rkhunter -c --cronjob 定时工具…

1.下载地址:http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.6/ 2.上传至Linux后解压 3.编译安装 [root@test rkhunter-1.4.6]# ./installer.sh --layout default --install Checking system for: Rootkit Hunter installer files: found A web file download command:…

目录:1.BIOS2.SSH安全3.禁用telnet4.禁用代码编译5.ProFTP6.TCPwrappers7.创建一个SU组8.root通知9.history安全10.欢迎信息11.禁用所有特殊账户12.chmod危险文件13.指定允许root登陆的TTY设备14.选择一个安全的密码15.检查Rootkit16.安装补丁17.隐藏Apache信息18.隐藏php信息19.关闭不使用的服务20.检测监听中的端口21.关闭打开的端口和服务22.删除不用的rpm包23.禁用危险的php函数24.安…

优化: 可删除用户:adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher.   :userdel games 可删除组:adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers.             :groupdel games 不需要用户登录的用户,比如www供apache使用的用户可以关闭其登录功能               :usermod -s /sbin/nolog…

线上Linux服务器运维安全策略经验分享 https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&sn=6d403ab4472e8c6fb5615e3694ef1abf&scene=0&key=710a5d99946419d997addab69cf0313c7ced31d81e1b0f726bba0a78487df51caa8962eee72d85ca945bb3b71f1c7447…

蛋疼啊,服务器被入侵成肉鸡了,发出大量SYN请求到某个网站!(瞬间有种被OOXX(强)(奸)的赶脚) 泪奔ING... 源起: Linux服务器日常检查,#ps aux 发现大量httpd进程,和往常情况不同(和以往多出好几倍),接着#top 一下,httpd名列前茅!(JJ Fly...) #netstat -anp 发现大量SYN_SENT,成肉鸡了!(瞬间有种被OOXX(强)(奸)的赶脚)! #cd / 转到根目录  #ll -a检查最近修改过的文件,发现/etc文件夹在前几天凌晨三点被修…

1 . BIOS 你应该总是在系统启动的时候设置一个BIOS 密码和禁用从CD-ROM 和软盘引导,这将可以防止一些人未经允许访问你的系统和更改BIOS 设置 2 .sshd 服务 SSH 是一个协议,利用它可以登录到一个远程系统或远程执行系统命令,默认允许root 登录,并且sshv1 存在缺陷,我们应该在sshd_config 禁止root 访问和使用sshv2 来让ssh 更加安全#vi /etc/ssh/sshd_config Protocol 2PermitRootLogin = no…

转自:http://blog.jobbole.com/77663/ 官网 ClamAV杀毒软件介绍 ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件.ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了.另外它主要是来防护一些WINDOWS病毒和木马程序.另外,这是一个面向服务端的软件. 下载ClamAV安装包 ClamAV的官方下载地址为http://www.clamav.net/d…

了解了渗透測试的概念后.接下来就要学习进行渗透測试所使用的各种工具.在做渗透測试之前.须要先了解渗透所需的工具.渗透測试所需的工具如表1-1所看到的: 表1-1  渗透所需工具 splint unhide scrub pscan examiner ht flawfinder srm driftnet rats nwipe binwalk ddrescue firstaidkit-gui scalpel gparted xmount pdfcrack testdisk dc3dd wipe for…

后门 (1)开机自动反弹shell (2)linux后门 Rookit 目前常用的有:t0rn /mafix/enyelkm 等 mafix rootkit Mafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号. URL:http://forum.eviloctal.com/attachment.php?aid=13419 安装及使用: wget http://forum.eviloctal.com/attachme…

写在前面:当你部署一台服务器,第一步不应该是部署应用,安全是才是首要任务 如果某一天当你登录服务器发现 /bin/bash –i,python -c 'import pty; pty.spawn("/bin/sh")' 等命令在服务器上出现的时候,那么恭喜你,服务器被入侵了 但是入侵者都是很聪明的,首先会执行以下命令 unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;…

案例描述 服务器遇到大流量攻击的处理过程.早上接到 IDC 的电话,说我们的一个网段 IP 不停的向外发包,应该是被攻击了,具体哪个 IP不知道,让我们检查一下. 按理分析及解决办法 首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有 zabbix 监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面. 我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量. 这台机器主要是运行了一个 tomcat WEB 服务和 oracle 数据库,问题不应该出…