检查Linux服务器是否被入侵相关命令

于 2023-03-22 17:02:32 发布
阅读量793 收藏 17
点赞数 11
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72603974/article/details/129713380
版权

一、检测服务器的日志是否有被删除

可以查看日志信息是否还存在或者是否被清空,如下相关命令:

[root@master ~]# ll -h /var/log/*
-rw-------. 1 root   root      0 Mar 22 14:09 /var/log/boot.log
-rw-------  1 root   root   8.0K Jan  3 15:27 /var/log/boot.log-20230103
-rw-------  1 root   root    16K Jan 10 17:23 /var/log/boot.log-20230110
-rw-------  1 root   root   7.8K Mar  7 17:36 /var/log/boot.log-20230307
-rw-------  1 root   root   7.8K Mar  9 10:48 /var/log/boot.log-20230309
-rw-------  1 root   root   9.2K Mar 16 11:48 /var/log/boot.log-20230316
-rw-------  1 root   root    17K Mar 18 12:42 /var/log/boot.log-20230318
-rw-------  1 root   root   7.9K Mar 22 14:09 /var/log/boot.log-20230322
-rw-------  1 root   utmp   1.2K Mar 22 13:34 /var/log/btmp
-rw-------  1 root   utmp      0 Jan  1 03:13 /var/log/btmp-20230307
-rw-------  1 root   root    816 Mar 22 16:01 /var/log/cron
-rw-------  1 root   root    39K Jan  8 03:34 /var/log/cron-20230108
-rw-------  1 root   root    18K Mar  7 17:36 /var/log/cron-20230307
-rw-------  1 root   root    24K Mar 12 03:25 /var/log/cron-20230312
-rw-------  1 root   root    14K Mar 22 14:09 /var/log/cron-20230322

[root@master ~]# du -sh /var/log/*
2.3M    /var/log/anaconda
36M     /var/log/audit
0       /var/log/boot.log
8.0K    /var/log/boot.log-20230103
16K     /var/log/boot.log-20230110
8.0K    /var/log/boot.log-20230307
8.0K    /var/log/boot.log-20230309
12K     /var/log/boot.log-20230316
20K     /var/log/boot.log-20230318
8.0K    /var/log/boot.log-20230322
4.0K    /var/log/btmp
0       /var/log/btmp-20230307

二、检测是否有异常的用户名及密码文件

可以查看/etc/passwd及/etc/shadow文件,如下相关命令:

[root@master ~]# ll /etc/pass*
-rw-r--r--  1 root root 1264 Mar 22 16:31 /etc/passwd
-rw-r--r--. 1 root root 1231 Dec 21 10:05 /etc/passwd-
[root@master ~]# ll /etc/sha*
----------  1 root root 844 Mar 22 16:31 /etc/shadow
----------. 1 root root 821 Dec 21 10:05 /etc/shadow-

三、检测用户名及密码文件是否被更改

可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,如下相关命令:

[root@master ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

[root@master ~]# cat /etc/shadow
root:$6$ui65fefoaTcI1Pub$7I2ZxpxiEkTgk5pderGB90C/phUAg84FsPMCxZCcoS1GjJhMK2rA2fI5tlMuKQTqQVBbRHfaNrj6A/Vhj/bBX/::0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
adm:*:17834:0:99999:7:::
lp:*:17834:0:99999:7:::
sync:*:17834:0:99999:7:::
shutdown:*:17834:0:99999:7:::
halt:*:17834:0:99999:7:::
mail:*:17834:0:99999:7:::
operator:*:17834:0:99999:7:::

四、查看最近一次服务器登录成功和登录不成功

对应日志“/var/log/lastlog”,如下相关命令:

[root@master ~]# lastlog
Username         Port     From             Latest
root             pts/1    192.168.189.1    Wed Mar 22 13:42:39 +0800 2023
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**

 五、查看机器当前登录的全部用户

对应日志文件“/var/run/utmp”,如下相关命令:

[root@master ~]# who
root     tty1         2023-03-22 13:34
root     pts/0        2023-03-22 13:39 (192.168.189.1)
root     pts/1        2023-03-22 13:42 (192.168.189.1)

六、查看服务器创建以来登陆过的用户

对应日志文件“/var/log/wtmp”,如下相关命令:

[root@master ~]# last
root     pts/1        192.168.189.1    Wed Mar 22 13:42   still logged in
root     pts/0        192.168.189.1    Wed Mar 22 13:39   still logged in
root     tty1                          Wed Mar 22 13:34   still logged in
reboot   system boot  3.10.0-1160.76.1 Wed Mar 22 13:33 - 16:47  (03:14)
root     pts/0        192.168.189.1    Sat Mar 18 11:27 - crash (4+02:06)
root     tty1                          Sat Mar 18 11:26 - crash (4+02:06)
reboot   system boot  3.10.0-1160.76.1 Sat Mar 18 11:26 - 16:47 (4+05:21)
root     pts/0        192.168.189.1    Thu Mar 16 15:58 - crash (1+19:27)
root     tty1                          Thu Mar 16 15:58 - crash (1+19:28)

七、查看 /var/log/secure日志文件

如果有入侵的话,可以尝试发现入侵者的相关信息,如下相关命令:

[root@master ~]# cat /var/log/secure | grep -i "accepted password"

八、查询异常进程所对应的的执行脚本

可以使用top命令查看异常的进程对应的PID

找到对应的PID之后可以在文件系统目录里面查找该进程的可执行文件

 

 

 

阿~灿
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux服务器恶意登录记录及解决方案
小慌慌的博客
09-05 1777
因为:自从有了一台有公网IP的Linux机器,每次登录就会有这样是信息:(大致意思:别人尝试登陆你的服务器但账户名或者密码不正确导致登陆失败。输入指令 ps -ef |grep 用户名 删掉第一个进程(可能会有其他连号的进程,不需要管),然后在执行 步骤5。(1)先用命令 cat /etc/passwd 查看一下所有的用户 可以看到片你需要删除的用户名。(3)用命令 ps -u 用户名 查看该用户的pid。如果此时还是删除不了用户,是由于还有进程没杀完,在root用户下,
Linux 总结用户和用户组管理
代码技巧
11-19 1186
Linux 用户和用户组管理 Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。 用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。 每个用户账号都拥有一个惟一的用户名和各自的口令。 用户
Linux查询系统上次启动时间last reboot、上线时间uptime
热门推荐
小康师兄
08-04 2万+
Linux查询系统上次启动时间last reboot、上线时间uptime
Linux查询用户是否存在弱口令
冰川的博客
07-27 4051
密码文件 [root@]# vi /etc/shadow 文件示例 root:$6$Z/WCDvdGbDCTQknC$PR5ynvhojpao1ZfTTQ/hfk5ckrr0QyPcqCjZfhvWSEwySvh.g7wLxnQ21jrpWCVSRqhr3z7ZbBxGX.jvdsZuh/::0:99999:7::: bin:*:17834:0:99999:7::: daemon:*:17834:0:99999:7::: name 登录名称,必须是有效用户名 password 已加密密码
linux 服务器 检查是否攻击 常用命令
whatday的专栏
07-26 2551
centos/RHELLinux查看Secure和audit日志。8.使用top或htop命令查看进程对CPU/内存的消耗情况。5.使用netstat命令查看本机各端口连接情况。7.使用ps命令查看当前系统中正在运行的进程信息。1.使用last命令查看登录服务器的用户记录。关键字”Acceptedpassword“2.使用who命令查看当前登录的用户。关键字”type=USER_AUTH“6.使用lsof命令查看打开的文件。12.使用nmap命令查看打开的端口。3.查看命令执行记录。...
Linux入侵常用命令之防黑客示例代码
09-15
了解这些入侵命令和防御策略对于Linux运维人员至关重要,可以帮助他们更好地保护系统免受黑客攻击。同时,对于开发者来说,理解这些威胁可以帮助他们在编写代码时考虑到安全性,避免引入潜在的安全风险。
Linux系统被入侵后处理实战
02-25
操作系统:Ubuntu12.04_x64运行...于是联系机房协助解决,授权机房技术登录到系统:首先通过w命令查看是否有异常用户在登录;再查看登录日志/var/log/auth.log,预料之中,日志已经清空;最后使用iftop工具找出占用大量流
一次Linux服务器被hack的过程分析
01-31
hacker登入一台被入侵服务器,通常首先使用”w”命令查看登陆者信息、使用”passwd”命令修改当前用户密码,然后通过wget,获取提权和其他hack工具。hacker一般将工具解压到目录名以”.”开头的目录中,达到隐藏的...
Linux Web服务器网站故障分析常用命令
09-15
Linux环境中,Web服务器的故障排查是一项关键任务,对于系统的稳定运行至关重要。本篇文章主要介绍了使用Linux...同时,定期检查和优化服务器配置,以及使用防火墙和入侵检测系统,也是预防和减少故障的重要措施。
Linux入侵检测方法
00勇士王子的博客
03-05 1180
1进程2端口3日志4流量5计划。
linux命令-管理用户
weixin_38383877的博客
05-11 3769
一、导入 1、基础 Linux 是一个多用户操作系统,支持多个用户同时登录操作系统(window某些版本支持) 用户组是用户的逻辑组合,自动继承用户组的权限 用户和用户组既有名称,也有数字形式的 ID root 用户是系统超级管理员,拥有最高的权限,所有对象都可以操作 查看当前登录账户:命令为 whoami [www@localhost ~]$ whoami www 2、切换用户 su命令:实现任何身份的切换,包括从普通用户切换为 root 用户、从 root 用户切换为普通用户
如何判断 Linux 服务器是否入侵及排查病毒方法
yuer629
10-24 2605
啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否入侵
Linux用户与用户组
ysds20211402的博客
02-07 1564
转自:微点阅读https://www.weidianyuedu.com/content/3317486503449.html Linux用户与用户组 Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。 用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。 每个用户账号都拥有一个唯一的用户名和各自的口令。 用..
Linux恶意攻击自查方案
W1124824402的博客
12-12 1661
实际上,/etc/rc.d/init.d和/etc/xinetd.d目录,以及/etc/rc.d/rc.local文件是通过软链接到/etc/rc*.d目录下执行加载的,而/etc/inittab是启动配置文件,因此重点关注/etc/rc0.d~rc6.d目录下的文件。注:各服务的启动脚本存放在/etc/init.d/和/etc/xinetd.d目录下,对于没有或无法使用chkconfig命令的系统,可通过创建或删除到/etc/rc*.d目录下的软链接,手工实现管理服务开机是否启动。
排查Linux服务器是否入侵步骤
rendongxingzhe的博客
11-22 1539
Linux操作系统安全,排查Linux服务器是否入侵步骤
/var/log目录
weixin_30883271的博客
09-11 196
/var/log/messages— 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。 /var/log/dmesg— 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。 /var/log/a...
查询linux系统启动时间
清扬叶
04-02 660
linux系统启动时间查询 1.last命令 [root@apollo data]# last reboot reboot system boot 3.10.0-957.10.1. Tue Mar 10 12:41 - 23:35 (23+10:53) reboot system boot 3.10.0-957.10.1. Tue No...
Linux基础
Ali
01-03 525
linux运维高级linux常用命令1.linux的目录结构操作文件目录2.文件相关命令3. 权限管理命令 4.文件搜索命令5.查找帮助命令6. 帮助命令7.用户管理命令8.解压缩命令(4组).gz格式.zip格式9.网络命令10.关机重启命令vim编辑器的使用1.常用命令2.使用技巧rpm软件包管理rpm的命名规则RPM包依赖性安装卸载查询是否安装RPM包管理-yum在线安装源码包安装apach...
liunx基础命令
weixin_33827590的博客
03-26 60
文件相关命令touch:创建一个空文件例如 touch a 创建了一个空文件叫a 创建目录mkdir:创建目录-p:递归创建(一次性创建多个文件)-v:显示创建的过程 删除rm 删除文件rm -r 删除目录rm -rf 强制删除注意:不要这样用 rm -rf / 删除根目录下所有类容 ls:列出当前目录有哪些文件-a:列出所有文件(隐藏文件和. ..)-A:列出所有文件(隐藏文件...
Linux应急响应流程及实战演练.docx
最新发布
03-06
Linux 应急响应流程及实战演练 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值