审查Linux是否被入侵的方法

最新推荐文章于 2022-10-24 23:48:35 发布
最新推荐文章于 2022-10-24 23:48:35 发布
阅读量671 收藏
点赞数
分类专栏: 加密/攻击

一、检查系统日志

lastb命令检查系统错误登陆日志,统计IP重试次数

二、检查系统用户

1、cat /etc/passwd

查看是否有异常的系统用户

2、grep “0” /etc/passwd

查看是否产生了新用户,UID和GID为0的用户

3、ls -l /etc/passwd

查看passwd的修改时间,判断是否在不知的情况下添加用户

4、查看是否存在特权用户

awk -F: ‘$3= =0 {print $1}’ /etc/passwd

5、查看是否存在空口令帐户

awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow

三、检查异常进程

1、注意UID为0的进程

使用ps -ef命令查看进程

2、察看该进程所打开的端口和文件

lsof -p pid命令查看

3、检查隐藏进程

ps -ef | awk ‘{print }’ | sort -n | uniq >1

ls /porc |sort -n|uniq >2

diff 1 2

四、检查异常系统文件

find / -uid 0 –perm -4000 –print

find / -size +10000k –print

find / -name “…” –print

find / -name “.. “–print

find / -name “. “ –print

find / -name “ “ –print

五、检查系统文件完整性

rpm –qf /bin/ 

ls

rpm -qf /bin/login

md5sum –b 文件名

md5sum –t 文件名

六、检查RPM的完整性

rpm -Va  #注意相关的/sbin,/bin,/usr/sbin,/usr/bin

输出格式说明:

S – File size differs

M – Mode differs (permissions)

5 – MD5 sum differs

D – Device number mismatch

L – readLink path mismatch

U – user ownership differs

G – group ownership differs

T – modification time differs

七、检查网络

ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)

lsof –i

netstat –nap(察看不正常打开的TCP/UDP端口)

arp –a

八、检查系统计划任务

crontab –u root –l

cat /etc/crontab

ls /etc/cron.*

九、检查系统后门

cat /etc/crontab

ls /var/spool/cron/

cat /etc/rc.d/rc.local

ls /etc/rc.d

ls /etc/rc3.d

十、检查系统服务

chkconfig —list

rpcinfo -p(查看RPC服务)

十一、检查

rootkitrkhunter -c

chkrootkit -q


转自源站:http://mp.weixin.qq.com/s?__biz=MzA3OTgyMDcwNg==&mid=2650626043&idx=1&sn=1dfa1905ec25ed4261253ee32480c656&scene=23&srcid=0924305kGLh8xgrwIiLKRNg6#rd

WenCoding
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审查工具fortify安全问题解决方法
06-02
整理代码审查工具fortify扫描的高中低危问题解决方法
11个审查Linux是否入侵方法
Yort
08-01 891
一、检查系统日志 lastb命令 检查系统错误登陆日志,统计IP重试次数 二、检查系统用户 1、cat /etc/passwd 查看是否有异常的系统用户 2、grep “0” /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 3、ls -l /etc/passwd 查看passwd的修改时间,判断是否在不知的情况下添加用户
linux 全功能检测所有可疑用户
haha1314的博客
05-27 1329
#/bin/bash while true do echo "请选择以下功能!!!" echo "---------------------------------passwd-----------------------------------" echo "1、在桌面生成一个----非系统用户.txt" echo "2、在桌面生成一个----系统用户.txt" echo "3、在桌面生成一个-...
如何判断 Linux 服务器是否入侵及排查病毒方法
yuer629
10-24 2384
啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否入侵
如何检查linux服务器是否入侵
08-06 1733
入侵服务器的症状 当服务器被没有经验攻击者或者自动攻击程序入侵了的话,他们往往会消耗 100% 的资源。他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件,也可能消耗带宽来发动 DoS 攻击。 因此出现问题的第一个表现就是服务器 “变慢了”。这可能表现在网站的页面打开的很慢,或者电子邮件要花很长时间才能发送出去。 那么你应该查看那些东西呢? 检查 1 - 当...
带式输送机安标技术审查方法应用
05-25
带式输送机是煤矿的重要设备,使用前需取得到安标国家中心颁发的安全标志准用证。简单介绍带式输送机安标技术审查方法。该方法应用于实际工作中,并被编制成技术审查软件,获得了良好的社会效益。
CentOS7搭建gerrit 代码审查服务方法
01-10
adduser gerrit;passwd gerrit;...2) 添加执行权限chmod a+x jdk-8u161-nb-8_2-linux-x64.sh,然后运行该脚本安装 3) 设置环境变量,编辑/etc/profile或~/.bashrc文件在文件末尾添加如下配置 e
Gradle进阶使用结合Sonarqube进行代码审查方法
08-26
今天小编就为大家分享一篇关于Gradle进阶使用结合Sonarqube进行代码审查方法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
嵌入式Linux智能抄表终端软件代码审查技巧.pdf
09-06
嵌入式Linux智能抄表终端软件代码审查技巧.pdf
linux入侵取证
02-22
linux入侵取证
Linux查看lastb(统计)登录失败次数
余俊晖,NLP炼丹师,目前专注自然语言处理领域研究。曾获得国内外自然语言处理算法竞赛TOP奖项近二十项。
03-07 1780
ssh密码登录时,服务器容易被字典爆破,统计登录失败次数命令 lastb | awk '{ print $3}' | sort | uniq -c | sort -n 显示如:
lastb(统计)登录失败次数
qq_41619571的博客
02-10 970
[root@QQ ~]# lastb | awk '{ print" IP地址为:" $3}' | sort | uniq -c | sort -n #打印第三列(IP地址列),并统计登录失败次数 315 IP地址为:46.101.2.43 322 IP地址为:159.89.18.209 377 IP地址为:46.101.91.251 391 IP地址为:139.59.181.194 446 .
阿里云 centos 7 查看和清空用户登录失败记录 lastb
tumobi的博客
09-25 2461
查看用户登录系统失败记录,如果输出内容很多,说明服务器被人尝试登录的次数比较多。 lastb 统计登录失败的次数,通过 wc 统计文件行数,一行对应一次登录失败日志。 cat /var/log/btmp | wc -l 用户登录系统失败时会被记录在日志文件中 /var/log/btmp ,lastb 命令实际也是读取此文件。 查看登录失败日志文件的大小。 ll -h /var/log/btmp...
linux密码被入侵,11个步骤完美排查Linux机器是否已经被入侵
weixin_35982453的博客
05-06 543
原标题:11个步骤完美排查Linux机器是否已经被入侵随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: 2...
Linux常见系统后门排查命令
热门推荐
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
系统审计
weixin_33755649的博客
08-19 196
1. 检查帐户 # less /etc/passwd # grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户) # ls -l /etc/passwd(查看文件修改日期) # awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户) # awk -F: ‘length...
Linux 系统管理 : lastb 命令详解
yexiangCSDN的专栏
06-21 2082
lastb命令用于显示用户错误的登录列表,此指令可以发现系统的登录异常。单独执行lastb命令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。语法lastb(选项)(参数)选项-a:把从何处登入系统的主机名称或ip地址显示在最后一行; -d:将IP地址转换成主机名称; -f<记录文件>:指定记录文件; -n<显示列...
2021数学建模美赛C题代码.zip
最新发布
04-24
最全的数学建模美赛C题和代码、大量刷题题库、逻辑清晰易于学习
linux svn 设置代码审查
07-14
# 检查是否符合代码审查规则 # 如果不符合规则,则不允许提交 /path/to/code/review/script.sh "$REPOS" "$TXN" || exit 1 # 如果通过代码审查,则允许提交 exit 0 ``` 最后,设置"pre-commit"文件可执行: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值