linux查看是否被入侵(二)

1、检查异常系统文件

[root@bastion-IDC ~]# find / -uid 0 -perm -4000 -print

[root@bastion-IDC ~]# find / -size +10000k –print

[root@bastion-IDC ~]# find / -name "…" –print

[root@bastion-IDC ~]# find / -name ".." –print

[root@bastion-IDC ~]# find / -name "." –print

[root@bastion-IDC ~]# find / -name " " –print

2、检查系统文件完整性

[root@bastion-IDC ~]# rpm –qf /bin/ls

[root@bastion-IDC ~]# rpm -qf /bin/login

[root@bastion-IDC ~]# md5sum –b 文件名

[root@bastion-IDC ~]# md5sum –t 文件名

3、检查RPM的完整性

[root@bastion-IDC ~]# rpm -Va  #注意相关的/sbin,/bin,/usr/sbin,/usr/bin

输出格式说明：

1. S – File size differs
2. M – Mode differs (permissions)
3. 5 – MD5 sum differs
4. D – Device number mismatch
5. L – readLink path mismatch
6. U – user ownership differs
7. G – group ownership differs
8. T – modification time differs

4、检查网络

4.1检查端口及ip绑定

[root@bastion-IDC ~]# ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer）

[root@bastion-IDC ~]# lsof -i  #查看tcp和udp连接信息，lsof -i tcp或lsof -i udp

[root@bastion-IDC ~]# netstat -nap（察看不正常打开的TCP/UDP端口)

[root@bastion-IDC ~]# arp -a

4.2 检查宽带

[root@bastion-IDC ~]# nethogs 检查进程使用的带宽流量（yum -y install nethogs安装）

[root@bastion-IDC ~]# iftop -n 检查每个连接使用的带宽（yum -y install iftop安装）

[root@bastion-IDC ~]# bwm-ng 检查系统网络接口数据传输速度（yum -y install bwm-ng安装）

5、查看/usr/bin/ 中最近变动的文件

ls -lt /usr/bin/ | head

或者用 `ls -lrt /usr/bin/` 查看按时间倒序查

7、检查系统计划任务

[root@bastion-IDC ~]# crontab -u root -l

[root@bastion-IDC ~]# cat /etc/crontab

[root@bastion-IDC ~]# ls /etc/cron.*

8、检查系统后门

[root@bastion-IDC ~]# cat /etc/crontab

[root@bastion-IDC ~]# ls /var/spool/cron/

[root@bastion-IDC ~]# cat /etc/rc.d/rc.local

[root@bastion-IDC ~]# ls /etc/rc.d

[root@bastion-IDC ~]# ls /etc/rc3.d

9、检查系统服务

[root@bastion-IDC ~]# chkconfig --list | grep :on

[root@bastion-IDC ~]# rpcinfo -p（显示本地系统中注册到rpcbind协议版本2的所有RPC服务,yum -y install rpcbind安装）

11、检查系统是否感rootkit

Rootkit：是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root  权限登录到系统。

 rootkit主要有两种类型：文件级别和内核级别。

11.1 文件级别的rootkit:

一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit，对系统维护很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查，如Tripwire、aide等。 

11.2 内核级rootkit:

是比文件级rootkit更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上，它并不对系统文件做任何修改。以防范为主。

12、使用rkhunter检测

[root@bastion-IDC ~]# rkhunter -c

每项检测结果都高亮显示，绿色表示正常，红色表示需要引起关注，上面的检测需要与用户交互输入“回车”，可以使用--sk选项使其自动检测：

[root@bastion-IDC ~]# rkhunter --check --skip-keypress

13、使用chrootit检测

[root@bastion-IDC ~]# chkrootkit -q| grep INFECTED #出现INFECTED就说明系统可能有问题了