检查Linux服务器是否被入侵相关命令

最新推荐文章于 2024-09-16 23:37:43 发布
最新推荐文章于 2024-09-16 23:37:43 发布
阅读量826 收藏 17
点赞数 11
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72603974/article/details/129713380
版权

一、检测服务器的日志是否有被删除

可以查看日志信息是否还存在或者是否被清空,如下相关命令:

[root@master ~]# ll -h /var/log/*
-rw-------. 1 root   root      0 Mar 22 14:09 /var/log/boot.log
-rw-------  1 root   root   8.0K Jan  3 15:27 /var/log/boot.log-20230103
-rw-------  1 root   root    16K Jan 10 17:23 /var/log/boot.log-20230110
-rw-------  1 root   root   7.8K Mar  7 17:36 /var/log/boot.log-20230307
-rw-------  1 root   root   7.8K Mar  9 10:48 /var/log/boot.log-20230309
-rw-------  1 root   root   9.2K Mar 16 11:48 /var/log/boot.log-20230316
-rw-------  1 root   root    17K Mar 18 12:42 /var/log/boot.log-20230318
-rw-------  1 root   root   7.9K Mar 22 14:09 /var/log/boot.log-20230322
-rw-------  1 root   utmp   1.2K Mar 22 13:34 /var/log/btmp
-rw-------  1 root   utmp      0 Jan  1 03:13 /var/log/btmp-20230307
-rw-------  1 root   root    816 Mar 22 16:01 /var/log/cron
-rw-------  1 root   root    39K Jan  8 03:34 /var/log/cron-20230108
-rw-------  1 root   root    18K Mar  7 17:36 /var/log/cron-20230307
-rw-------  1 root   root    24K Mar 12 03:25 /var/log/cron-20230312
-rw-------  1 root   root    14K Mar 22 14:09 /var/log/cron-20230322

[root@master ~]# du -sh /var/log/*
2.3M    /var/log/anaconda
36M     /var/log/audit
0       /var/log/boot.log
8.0K    /var/log/boot.log-20230103
16K     /var/log/boot.log-20230110
8.0K    /var/log/boot.log-20230307
8.0K    /var/log/boot.log-20230309
12K     /var/log/boot.log-20230316
20K     /var/log/boot.log-20230318
8.0K    /var/log/boot.log-20230322
4.0K    /var/log/btmp
0       /var/log/btmp-20230307

二、检测是否有异常的用户名及密码文件

可以查看/etc/passwd及/etc/shadow文件,如下相关命令:

[root@master ~]# ll /etc/pass*
-rw-r--r--  1 root root 1264 Mar 22 16:31 /etc/passwd
-rw-r--r--. 1 root root 1231 Dec 21 10:05 /etc/passwd-
[root@master ~]# ll /etc/sha*
----------  1 root root 844 Mar 22 16:31 /etc/shadow
----------. 1 root root 821 Dec 21 10:05 /etc/shadow-

三、检测用户名及密码文件是否被更改

可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,如下相关命令:

[root@master ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

[root@master ~]# cat /etc/shadow
root:$6$ui65fefoaTcI1Pub$7I2ZxpxiEkTgk5pderGB90C/phUAg84FsPMCxZCcoS1GjJhMK2rA2fI5tlMuKQTqQVBbRHfaNrj6A/Vhj/bBX/::0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
adm:*:17834:0:99999:7:::
lp:*:17834:0:99999:7:::
sync:*:17834:0:99999:7:::
shutdown:*:17834:0:99999:7:::
halt:*:17834:0:99999:7:::
mail:*:17834:0:99999:7:::
operator:*:17834:0:99999:7:::

四、查看最近一次服务器登录成功和登录不成功

对应日志“/var/log/lastlog”,如下相关命令:

[root@master ~]# lastlog
Username         Port     From             Latest
root             pts/1    192.168.189.1    Wed Mar 22 13:42:39 +0800 2023
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**

 五、查看机器当前登录的全部用户

对应日志文件“/var/run/utmp”,如下相关命令:

[root@master ~]# who
root     tty1         2023-03-22 13:34
root     pts/0        2023-03-22 13:39 (192.168.189.1)
root     pts/1        2023-03-22 13:42 (192.168.189.1)

六、查看服务器创建以来登陆过的用户

对应日志文件“/var/log/wtmp”,如下相关命令:

[root@master ~]# last
root     pts/1        192.168.189.1    Wed Mar 22 13:42   still logged in
root     pts/0        192.168.189.1    Wed Mar 22 13:39   still logged in
root     tty1                          Wed Mar 22 13:34   still logged in
reboot   system boot  3.10.0-1160.76.1 Wed Mar 22 13:33 - 16:47  (03:14)
root     pts/0        192.168.189.1    Sat Mar 18 11:27 - crash (4+02:06)
root     tty1                          Sat Mar 18 11:26 - crash (4+02:06)
reboot   system boot  3.10.0-1160.76.1 Sat Mar 18 11:26 - 16:47 (4+05:21)
root     pts/0        192.168.189.1    Thu Mar 16 15:58 - crash (1+19:27)
root     tty1                          Thu Mar 16 15:58 - crash (1+19:28)

七、查看 /var/log/secure日志文件

如果有入侵的话,可以尝试发现入侵者的相关信息,如下相关命令:

[root@master ~]# cat /var/log/secure | grep -i "accepted password"

八、查询异常进程所对应的的执行脚本

可以使用top命令查看异常的进程对应的PID

找到对应的PID之后可以在文件系统目录里面查找该进程的可执行文件

 

 

 

阿~灿
关注
Linux 学习总结(86)—— 如何排查服务器是否入侵
科技D人生
05-02 1585
一、入侵者可能会删除机器的日志信息 可以查看日志信息是否还存在或者是否被清空,相关命令示例: 二、入侵者可能创建一个新的存放用户名及密码文件 可以查看 /etc/passwd 及 /etc/shadow 文件,相关命令示例: 三、入侵者可能修改用户名及密码文件 可以查看 /etc/passwd 及 /etc/shadow 文件内容进行鉴别,相关命令示例: 四、查看机器最近成功登陆的事件和最后一次不成功的登陆事 对应日志 “/var/log/lastlog”,相关命令示例: 五
Linux服务器恶意登录记录及解决方案
小慌慌的博客
09-05 1916
因为:自从有了一台有公网IP的Linux机器,每次登录就会有这样是信息:(大致意思:别人尝试登陆你的服务器但账户名或者密码不正确导致登陆失败。输入指令 ps -ef |grep 用户名 删掉第一个进程(可能会有其他连号的进程,不需要管),然后在执行 步骤5。(1)先用命令 cat /etc/passwd 查看一下所有的用户 可以看到片你需要删除的用户名。(3)用命令 ps -u 用户名 查看该用户的pid。如果此时还是删除不了用户,是由于还有进程没杀完,在root用户下,
Linux查询用户是否存在弱口令
冰川的博客
07-27 4227
密码文件 [root@]# vi /etc/shadow 文件示例 root:$6$Z/WCDvdGbDCTQknC$PR5ynvhojpao1ZfTTQ/hfk5ckrr0QyPcqCjZfhvWSEwySvh.g7wLxnQ21jrpWCVSRqhr3z7ZbBxGX.jvdsZuh/::0:99999:7::: bin:*:17834:0:99999:7::: daemon:*:17834:0:99999:7::: name 登录名称,必须是有效用户名 password 已加密密码
应急响应--Linux入侵检查思路及防御
最新发布
weixin_46483815的博客
09-16 425
Linux系统中,应急响应和入侵检查是确保系统安全的重要环节。
Linux入侵检测方法
00勇士王子的博客
03-05 1289
1进程2端口3日志4流量5计划。
linux命令-管理用户
weixin_38383877的博客
05-11 4319
一、导入 1、基础 Linux 是一个多用户操作系统,支持多个用户同时登录操作系统(window某些版本支持) 用户组是用户的逻辑组合,自动继承用户组的权限 用户和用户组既有名称,也有数字形式的 ID root 用户是系统超级管理员,拥有最高的权限,所有对象都可以操作 查看当前登录账户:命令为 whoami [www@localhost ~]$ whoami www 2、切换用户 su命令:实现任何身份的切换,包括从普通用户切换为 root 用户、从 root 用户切换为普通用户
如何判断 Linux 服务器是否入侵及排查病毒方法
yuer629
10-24 2922
啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否入侵
Linux入侵常用命令之防黑客示例代码
09-15
了解这些入侵命令和防御策略对于Linux运维人员至关重要,可以帮助他们更好地保护系统免受黑客攻击。同时,对于开发者来说,理解这些威胁可以帮助他们在编写代码时考虑到安全性,避免引入潜在的安全风险。
记一次入侵Linux服务器和删除木马程序的经历
09-15
本文档描述了一次针对Linux服务器入侵事件及其后续的处理过程。该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常...
排查Linux机器是否已经被入侵.doc
08-13
Linux环境中,安全是至关重要的,因为一旦系统被入侵,可能会...总之,排查Linux机器是否入侵需要全面、细致的检查,并且要持续关注系统的变化。只有这样,才能及时发现并应对潜在的安全威胁,保护系统免受侵害。
Linux用户与用户组
ysds20211402的博客
02-07 1636
转自:微点阅读https://www.weidianyuedu.com/content/3317486503449.html Linux用户与用户组 Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。 用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。 每个用户账号都拥有一个唯一的用户名和各自的口令。 用..
Linux恶意攻击自查方案
W1124824402的博客
12-12 1720
实际上,/etc/rc.d/init.d和/etc/xinetd.d目录,以及/etc/rc.d/rc.local文件是通过软链接到/etc/rc*.d目录下执行加载的,而/etc/inittab是启动配置文件,因此重点关注/etc/rc0.d~rc6.d目录下的文件。注:各服务的启动脚本存放在/etc/init.d/和/etc/xinetd.d目录下,对于没有或无法使用chkconfig命令的系统,可通过创建或删除到/etc/rc*.d目录下的软链接,手工实现管理服务开机是否启动。
/var/log目录
weixin_30883271的博客
09-11 213
/var/log/messages— 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。 /var/log/dmesg— 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。 /var/log/a...
linux bin里面的命令,Linux 中 head 命令实例
weixin_30981569的博客
05-16 178
原标题:Linux 中 head 命令实例head命令将每个文件的前10行打印到标准输出。对于多个文件,在每个文件前面加上一个给出文件名的头。如果没有文件,或者文件为-,则读取标准输入。如何使用head命令使用head显示/etc/passwd前十行内容:@localhost~]# head /etc/passwdroot:x: 0: 0:root:/root:/bin/bashbin:x: 1:...
Linux系统用户身份与文件权限管理
m0_46121636的博客
04-18 777
Linux系统用户身份与文件权限管理 用户身份与文件权限管理对你深入理解Linux操作系统有很好的帮助。 一、用户身份与能力 创建新用户 [root@bogon ~]# useradd TOM [root@bogon ~]# id TOM uid=1001(TOM) gid=1001(TOM) groups=1001(TOM) 创建用户组 [root@bogon...
linux基础(1):常用linux命令
weixin_45537413的博客
06-10 437
1、查找/杀死某个进程 查找进程:ps aux | grep *** 杀死进程:kill -9 ***进程号
linux服务器宕机如何查看日志,Linux死机重启后怎么查看实际日志?
热门推荐
weixin_32459553的博客
04-28 2万+
在程序的日常运维中,有时候也会遇到操作系统死机重启的情况,此时我们可能需要对此进行诊断。本文主要介绍如何查看Linux死机重启后的系统日志。具体操作系统信息如下:# lsb_release -aLSB Version: :core-4.1-amd64:core-4.1-noarchDistributor ID: CentOSDescription: CentOS Linux relea...
查看linux机器是否重启过,查看linux系统重启时间
weixin_33456452的博客
05-14 3101
很多人在linux系统平台工作的时候,都需要查看系统的重启时间,判断对应的问题,今天说三个命令查看系统究竟何时重启。last命令[root@180-234 app]# last rebootreboot system boot 3.10.0-327.el7.x Tue Jul 9 23:12 - 10:22 (1+11:09)reboot system boot 3.10.0-327...
Linux入侵技术详解:常用命令与安全防护
"这份PDF文件主要涵盖了Linux系统中的一些常用入侵命令,包括查看系统信息、网络配置、进程状态以及服务管理等,同时也提到了利用`su`进行权限提升的技巧。" 在Linux环境中,了解这些命令对于系统管理和安全审计至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值