11个审查Linux是否被入侵的方法

最新推荐文章于 2022-09-07 17:36:14 发布
最新推荐文章于 2022-09-07 17:36:14 发布
阅读量243 收藏 1
点赞数
分类专栏: linux-safe

本文给大家收集整理了一些审查Linux系统是否被入侵的方法,这些方法可以添加到你运维例行巡检中。

  1. 检查帐户

less /etc/passwd

grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)

ls -l /etc/passwd(查看文件修改日期)

awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)

awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)

  1. 检查日志

last (查看正常情况下登录到本机的所有用户的历史记录)

注意”entered promiscuous mode”

注意错误信息

注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-PM-PM-PM-PM-PM-PM-PM-PM)
3. 检查进程

ps -aux(注意UID是0的)

lsof -p pid(察看该进程所打开端口和文件)

cat /etc/inetd.conf | grep -v “^#”(检查守护进程)

检查隐藏进程

ps -ef|awk ‘{print }’|sort -n|uniq >1

ls /porc |sort -n|uniq >2

diff 1 2

  1. 检查文件

find / -uid 0 –perm -4000 –print

find / -size +10000k –print

find / -name “…” –print

find / -name “… ” –print

find / -name “. ” –print

find / -name ” ” –print

注意SUID文件,可疑大于10M和空格文件

find / -name core -exec ls -l {} \ (检查系统中的core文件)

检查系统文件完整性

rpm –qf /bin/ls

rpm -qf /bin/login

md5sum –b 文件名

md5sum –t 文件名

  1. 检查RPM

rpm –Va 输出格式:

S – File size differs

M – Mode differs (permissions)

5 – MD5 sum differs

D – Device number mismatch

L – readLink path mismatch

U – user ownership differs

G – group ownership differs

T – modification time differs

注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin
6. 检查网络

ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)

lsof –i

netstat –nap(察看不正常打开的TCP/UDP端口)

arp –a

  1. 检查计划任务

注意root和UID是0的schedule

crontab –u root –l

cat /etc/crontab

ls /etc/cron.*

  1. 检查后门

cat /etc/crontab

ls /var/spool/cron/

cat /etc/rc.d/rc.local

ls /etc/rc.d

ls /etc/rc3.d

find / -type f -perm 4000

  1. 检查内核模块

lsmod

  1. 检查系统服务

chkconfig

rpcinfo -p(查看RPC服务)

  1. 检查rootkit

rkhunter -c

chkrootkit -q

seaship
关注
专栏目录
Linux 系统中etc/passwd文件详解
鹅不糊涂的博客
05-20 1万+
Linux 系统中的/etc/passwd文件是一个非常重要的文件,它保存了系统上所有用户的账户信息。初学者需要了解该文件的结构和内容,以便更好地管理用户账户和权限。本文将为您介绍/etc/passwd文件的概述,帮助您更好地理解Linux系统
安利10个Linux 服务器开源防火墙,Linux运维收藏备用!
最新发布
网络技术联盟站
10-22 176
随着网络安全威胁的日益增加,保护 Linux 服务器已经成为每个系统管理员的首要任务。防火墙是网络安全的关键组成部分,负责管理进出网络的数据流量。通过预定义的规则,防火墙可以允许合法的连接,阻止潜在的攻击行为,确保服务器在面临外部威胁时处于安全状态。现如今,有许多开源防火墙工具可供选择,这些工具各有优劣,适合不同的应用场景。本文将详细介绍 10 个用于保护 Linux 服务器的最佳开源防火墙,帮助你为你的网络找到合适的解决方案。
linux系统入侵排查
03-29
描述了ddos,ssh爆破,挖坑,勒索病毒在Linux上的入侵排查思路以及方法
linux系统监控是否被攻击,Linux查看系统是否被cc攻击的方法
weixin_39549852的博客
05-02 221
cc攻击主要攻击页面,模拟很多用户来不断的访问网站,导致系统资源被大量占用,那么在Linux系统中,我们要如何知道自己是否被cc攻击了呢?查看所有80端口的连接数netstat -nat|grep -i “80”|wc -l对连接的IP按连接数量进行排序netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n查...
Linux云主机安全入侵排查步骤
京东科技开发者
09-07 1494
有用户报障系统被植入恶意程序,如挖矿软件、ddos攻击病毒、syn映射攻击病毒等,可以按照以下流程为用户排查入侵病毒。
Linux入侵之隐藏你的踪迹
雪域苍穹
04-24 788
Linux入侵之隐藏你的踪迹 前言: 被警察叔叔请去喝茶时间很痛苦的事情,各位道长如果功力不够又喜欢出风头的想必都有过这样的“待遇”。如何使自己在系统中隐藏的更深,是我们必须掌握的基本功。当然,如果管理员真的想搞你而他的功力又足够足的话,相信没什么人能够真正的“踏雪无痕”。 Forensic 与Anti-Forensic,说到底只是你和管理员之间的技术间较量而已。貌似很少有专门说这个
一个Linux下的入侵响应案例.pdf
09-06
本文详细分析了一个发生在Linux环境下的入侵响应案例,涉及的是针对某校校园网内一台运行Redhat 7.3操作系统的视频服务器的TCP 443端口扫描事件。管理员接到国外用户投诉后,初步检测发现服务器存在异常但无法通过...
记一次入侵Linux服务器和删除木马程序的经历
09-15
本文档描述了一次针对Linux服务器的入侵事件及其后续的处理过程。该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常...
Linux源码分析:入侵检测与系统检查
Linux源码分析是一个多维度、综合性的过程,它涉及系统、服务、文件和网络等多个层面,通过这些手段可以有效识别并应对系统安全威胁。对于任何IT专业人员来说,理解和掌握这一技能都是维护系统安全的重要步骤。
Linux应急响应工具箱
03-31
2. **Chkrootkit**: Chkrootkit是一款用于检测Linux系统是否被rootkit感染的工具。Rootkit是一种恶意软件,它隐藏系统中的恶意活动并试图逃避检测。Chkrootkit通过运行一系列检查来寻找rootkit的迹象,例如异常系统...
AWK编程
n8765的专栏
10-21 841
{ names = names $1 " "}END { print names } 通过将每个姓名和一个空格附加到变量 names 的前一个值, 来将所有员工的姓名收集进单个字符串中。最后 END 动作打印出 names 的值::Beth Dan Kathy Mark Mary Susie awk程序中,连接操作的表现形式是将字符串值一个接一个地写出来。对于每个输入行,程序的第一个语句先连接
一. AWK入门指南
imxiangzi的专栏
11-10 563
Awk是一种便于使用且表达能力强的程序设计语言,可应用于各种计算和数据处理任务。本章是个入门指南,让你能够尽快地开始编写你自己的程序。第二章将描述整个语言,而剩下的章节将向你展示如何使用Awk来解决许多不同方面的问题。纵观全书,我们尽量选择了一些对你有用、有趣并且有指导意义的实例。 1.1 起步 有用的awk程序往往很简短,仅仅一两行。假设你有一个名为 emp.data 的文件,其中包
AWK快速入门
Cengineering的博客
10-06 406
1. AWK程序结构创建一个文件名为emp.data的文件,用vim编辑如下内容 Beth 4.00 0 Dan 3.75 0 Kathy 4.00 10 Mark 5.00 20 Mary 5.50 22 Susie 4.25 18每列分别为名字,时薪,工时。 如果想打印每个雇员的名字
linux 系统被入侵之后你要做什么
CoLiuRs
06-03 2146
linux系统的服务器被入侵,总结了以下的基本方法 首先先用iptra(http://os.51cto.com/art/201505/476216.htm)f查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门   1. 检查帐户 # less /etc/passwd # grep :0: /etc
linux服务器入侵检测
Dave冷的博客
06-09 1787
均为工作环境自行整理 检查Linux系统被入侵 1. 检查帐户 less /etc/passwd grep :0: /etc/passwd (检查是否产生了新用户,和UID、GID是0的用户) ls -l /etc/passwd (查看文件修改日期) awk -F: ‘$3= =0 {print $1}’ /etc/passwd (查看是否存在特权用户) awk...
Linux检查日志是否入侵,11审查Linux是否被***的方法
weixin_36089077的博客
05-04 643
11审查Linux是否被***的方法一、检查系统日志lastb命令检查系统错误登陆日志,统计IP重试次数二、检查系统用户1、cat /etc/passwd查看是否有异常的系统用户2、grep “0” /etc/passwd查看是否产生了新用户,UID和GID为0的用户3、ls -l /etc/passwd查看passwd的修改时间,判断是否在不知的情况下添加用户4、查看是否存在特权用户awk -...
linux提权总结
qk的专栏
05-12 1733
ernel, Operating System & Device Information: Command Result uname -a Print all available system information uname -r Kernel release uname -n System hostname hostname
shell脚本编程神器之awk语法案例详解
青山师
12-27 4675
AWK入门指南 安装AWK # 使用yum安装 yum install gawk # 安装后检查是否安装ok which awk ## 一般输出安装路径是在: /bin/awk AWK 起步示例 假设存在一个文件 emp.data,其中包含员工的姓名、薪资(美元/小时)以及小时数,一个员工一行数据,其内容如下: Beth 4.00 0 Dan 3.75 0 kathy 4.00 10 Mark...
awk中{print $1}什么意思
weixin_33701564的博客
12-20 3217
给你举个例子,echo "aa bb cc" | awk -F '{print $1}' 结果就是aa,意思是把字符串按空格分割,取第一个,自己做个测试就明白了!awk是用来提取列的主要工具;{print $1}就是将某一行(一条记录)中以空格为分割符的第一个字段打印出来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值