服务器被入侵检查步骤

最新推荐文章于 2024-04-29 13:37:03 发布
最新推荐文章于 2024-04-29 13:37:03 发布
阅读量1.9k 收藏 8
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rulerer/article/details/81566152
版权

服务器被入侵检查步骤

  1. 查看/etc/passwd和/etc/shadow文件是否有可疑账号
  2. 查找服务器登录日志记录

核心启动日志:/var/log/dmesg
系统报错日志:/var/log/messages
邮件系统日志:/var/log/maillog
FTP系统日志:/var/log/xferlog
安全信息和系统登录与网络连接的信息:/var/log/secure

登录记录:/var/log/wtmp

News日志:/var/log/spooler
RPM软件包:/var/log/rpmpkgs
XFree86日志:/var/log/XFree86.0.log

引导日志:/var/log/boot.log   记录开机启动讯息,dmesg | more

cron(定制任务日志)日志:/var/log/cron

文件/var/run/utmp 记录现在登录的用户

文件 /var/log/wtmp 记录所有的登录和登出,who /var/log/wtmp

文件 /var/log/lastlog 记录每个用户最后的登入信息

文件 /var/log/btmp 记录错误的登入尝试

  1. 使用top命令查看是否有可疑进程
  2. 使用命令netstat –an | more查看是否开启可疑端口和连接外部可疑ip
  3. 使用命令find / -mtime -10 –type –f查看十天之内根目录下被修过的文件

mtime ---n天以内

type –f 普通文件类型

 

待补充。。。。。。。。。。。。。。。。。。

 

 

 

 

参考链接:

日志的作用

https://www.cnblogs.com/balaamwe/archive/2012/02/28/2371306.html

RuleZero
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
血泪教训!服务器入侵怎么办?排查过程全分享
2302_76672693的博客
09-09 1010
血泪教训!服务器入侵怎么办?排查过程全分享
服务器如何入侵
weixin_39965184的博客
08-22 796
xxe 相当于在文件里面插入一些xml代码,改变文件格式上传到服务器,当服务器在线浏览时就会执行代码。 xss 相当于在框里面输入一些html,php代码,浏览器直接解析执行恶意代码。 sql注入相当于输入sql代码到后台执行。 ...
如何判断Linux服务器是否被入侵?_centos查找攻击来源(1)
最新发布
2401_83947105的博客
04-29 1082
a.查看/var/log/secure文件,发现已经没有该文件b.使用lsof命令查看当前是否有进程打开/var/log/securec.从上面的信息可以看到 PID 1264(rsyslogd)打开文件的文件描述符为4。同时还可以看到/var/log/ secure已经标记为被删除了。因此我们可以在/proc/1264/fd/4(fd下的每个以数字命名的文件表示进程对应的文件描述符)中查看相应的信息,如下:d.从上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢复的数据。
服务器入侵怎么办?看我操作!
weixin_44421461的博客
10-18 599
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
一次服务器入侵的处理过程分享
ma_nong33的博客
06-20 1105
在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。服务器如果可以关闭外网,就关闭外网。
服务器入侵如何排查?如何防止服务器入侵
fzy18757569631的博客
06-26 751
.
服务器入侵后的紧急补救方法.docx
10-04
总结来说,服务器入侵后的紧急补救涉及多步骤,包括记录证据、恢复服务、修复漏洞、强化防护以及可能的系统恢复。结合区块链技术,企业可以进一步提升安全防御能力,实现更有效的安全管理和响应。
CentOS系统通过日志反查是否被入侵
09-30
本文将详细介绍如何在CentOS系统中通过日志文件反查是否被入侵,以及如何通过脚本来记录所有登录用户的操作历史。 首先,我们要关注的主要日志文件是 `/var/log/wtmp` 和 `/var/log/secure`。`/var/log/wtmp` 文件...
网络入侵检查分析文档
08-17
网络 入侵 检查 分析 服务器,攻击服务器的检测与步骤
Web服务器安全检查
04-08
PDF文档很可能包含了详细的Web服务器安全检查清单,包括检查步骤、最佳实践和可能的风险点。而"SecurityCheck.zip"可能是一个实际的安全检查脚本,用于自动扫描服务器上的潜在弱点,例如弱密码、过时软件版本、开放...
服务器日常检查.docx
09-19
服务器日常检查是确保服务器稳定运行和维护管理的关键步骤。在数字化时代,服务器作为数据存储和传输的核心设备,其稳定性和安全性对企业的业务运行和用户体验至关重要。服务器日常检查包括检查服务器硬件状态、...
Web服务器入侵和防护资料和工具
07-28
Web服务器入侵和防护-资料 1.利用网站漏洞入侵服务器 2.为入侵建立后门账户 3.SQL弱密码入侵服务器 4.利用上传漏洞入侵服务器 5.配置系统更新 6.查杀病毒和木马 7.禁用和卸载不用的服务 8.跟踪记录安全事件
入侵windows服务器的一种方法
12-19
项目中的一个工具类,可以实现通过命令行入侵服务器,首先必须先在服务器上运行myserver.exe,然后通过客户端来添加账号,设置权限,远程进入,删除帐号等来进行服务器入侵
你所不知道的XML安全——XML攻击方法小结
01-09
转载: 你所不知道的XML安全——XML攻击方法小结. XML可扩展标记语言,被设计用来传输和存储数据,其形式多样。某些在XML中被设计出来的特性,比如 XML schemas(遵循XML Schemas 规范)和documents type definitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML的攻击上。
服务器是如何被入侵
m0_51625987的博客
05-27 2723
简要阐述了Web服务器是如何被攻击者入侵的,对Web渗透做了简要分析,内容简而易懂。
记一次linux(被)入侵服务器变矿机
ZL_1618的博客
12-25 854
通过依次分析这3个脚本,就能看出这个病毒的可怕之处,先是通过写入ssh public key 拿到登录权限,然后下载执行远程二进制文件,最后再通过redis漏洞复制,迅速在全网传播,以指数级速度增长。那么问题是,这台服务器是怎么中招的呢?看了下redis.conf,bind的地址是127.0.0.1,没啥问题。由此可以推断,应该是root帐号被暴力破解了,为了验证我的想法,我lastb看了一下,果然有大量的记录:还剩最后一个问题,这个gpg-agentd程序到底是干什么的呢?
Linux 系统被黑客入侵!怎么排查?_linux系统排查,作为网络安全开发程序员
2401_83944560的博客
04-17 580
这里我们先做的操作就是,先把/usr/lib/mysql/mysql 和/sbin/httpss 给删除。我这里不计划去找进程(已经在新建一台版本一致的系统, 来拷贝top 和ps 命令,需要一小会,我们趁这个时间,先看看其他),因为之前朋友重启过服务器,发现服务器启动过一会才会负载较高。最后耗费了一段时间才反应到,入侵者可能不仅仅加锁了文件还加锁了/usr/bin/。朋友处理了一会没有解决,我开始想说我不是搞安全的,我怎么会,但朋友开出了天价,一顿海底捞,我在生活和现实面前低头了,开始上手看看了。
服务器入侵怎么办
fzy18757569631的博客
12-01 480
.
centos服务器安全检查
07-27
对于 CentOS 服务器的安全检查,有一些常见的步骤和注意事项可以参考: 1. 更新系统:确保服务器上安装的 CentOS 系统及相关...这些是一些基本的安全检查步骤,你可以根据具体需求和情况进一步加强服务器的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值