linux检查是否有D进程,11个检查Linux是否被入侵的方法

最新推荐文章于 2024-01-13 11:05:54 发布
最新推荐文章于 2024-01-13 11:05:54 发布
阅读量194 收藏
点赞数
文章标签: linux检查是否有D进程

本文给大家收集整理了一些审查Linux系统是否被入侵的方法,这些方法可以添加到你运维例行巡检中。

1. 检查帐户

复制代码代码如下:

# less /etc/passwd

# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)

# ls -l /etc/passwd(查看文件修改日期)

# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)

# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)

2. 检查日志

复制代码代码如下:

# last

(查看正常情况下登录到本机的所有用户的历史记录)

注意”entered promiscuous mode”

注意错误信息

注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3. 检查进程

复制代码代码如下:

# ps -aux(注意UID是0的)

# lsof -p pid(察看该进程所打开端口和文件)

# cat /etc/inetd.conf | grep -v “^#”(检查守护进程)

检查隐藏进程

# ps -ef|awk ‘{print }’|sort -n|uniq >1

# ls /porc |sort -n|uniq >2

# diff 1 2

4. 检查文件

复制代码代码如下:

# find / -uid 0 –perm -4000 –print

# find / -size +10000k –print

# find / -name “…” –print

# find / -name “.. ” –print

# find / -name “. ” –print

# find / -name ” ” –print

注意SUID文件,可疑大于10M和空格文件

# find / -name core -exec ls -l {} \

(检查系统中的core文件)

检查系统文件完整性

# rpm –qf /bin/ls

# rpm -qf /bin/login

# md5sum –b 文件名

# md5sum –t 文件名

5. 检查RPM

复制代码代码如下:

# rpm –Va

输出格式:

S – File size differs

M – Mode differs (permissions)

5 – MD5 sum differs

D – Device number mismatch

L – readLink path mismatch

U – user ownership differs

G – group ownership differs

T – modification time differs

注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin

6. 检查网络

复制代码代码如下:

# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)

# lsof –i

# netstat –nap(察看不正常打开的TCP/UDP端口)

# arp –a

7. 检查计划任务

复制代码代码如下:

注意root和UID是0的schedule

# crontab –u root –l

# cat /etc/crontab

# ls /etc/cron.*

8. 检查后门

复制代码代码如下:

# cat /etc/crontab

# ls /var/spool/cron/

# cat /etc/rc.d/rc.local

# ls /etc/rc.d

# ls /etc/rc3.d

# find / -type f -perm 4000

9. 检查内核模块

复制代码代码如下:

# lsmod

10. 检查系统服务

复制代码代码如下:

# chkconfig

# rpcinfo -p(查看RPC服务)

11. 检查rootkit

复制代码代码如下:

# rkhunter -c

# chkrootkit -q

孤独你懂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统安全及入侵排查
09-30
本PPT介绍: 1、Linux操作系统的安全配置,通过设置这些配置项可以在...、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
linux etc 目录详解,/etc/rc.d启动目录详解,etcrc.d目录详解
weixin_40001309的博客
04-28 1829
/etc/rc.d启动目录详解,etcrc.d目录详解操作系统:CentOS6.6_32位控制脚本目录/etc/rc.d,该目录下存在各个运行级别的脚本文件,执行ls /etc/rc.d,显示结果为:init.d rc rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d rc.local rc.sysinit。/etc/rc.d/init.d/该...
如何杀死处于进程状态D的进程
tecoes的博客
06-08 1885
如何杀死处于进程状态D的进程Linux进程状态:D (TASK_UNINTERRUPTIBLE),不可中断的睡眠状态 ,此时进程不能被信号唤醒,GDB等调试工具也不能对它调试,因为GDB也是用到了信号,也杀不死它查找D进程
linux进程的 D 状态和 Z 状态
最新发布
weixin_38184628的博客
01-13 1688
僵尸态是 linux 进程的一种状态,用 Z (zombie) 表示。处于 Z 状态的进程已经不在工作,进程的资源(内存,打开的文件) 都已经释放,只保留 struct task_struct 一个空壳子,用僵尸来表示这个状态非常形象。僵尸进程不能被信号杀死(因为僵尸进程已经死了,当然也不能响应信号),只能被父进程回收。进程处于僵尸态时保存的信息非常少,其中包括进程号,退出码,退出码是比较重要的,父进程回收僵尸进程的时候可以根据退出码确定子进程的退出原因。
Linux进程概念 —— 进程状态
Hello_World_213的博客
08-05 1676
Linux进程状态详解,7种Linux中的实际状态,与操作系统理论状态的关系,僵尸状态是什么以及危害
Linux内核调试技术——进程D状态死锁检测
热门推荐
My Linux Journey
07-17 1万+
Linux进程有一种状态等待为TASK_UNINTERRUPTIBLE,称为D状态,该种状态下进程不接收信号,只能通过wake_up唤醒。处于这种状态的情况有很多,例如mutex锁就可能会设置进程于该状态,有时候进程在等待某种IO资源就绪时(wait_event机制)会设置进程进入该状态。一般情况下,进程处于该状态的时间不会太久,但若IO设备出现故障或者出现进程死锁等情况,进程就可能长期处于该状态而无法再返回到TASK_RUNNING态。因此,内核为了便于发现这类情况设计出了hung task机制专门用于
通信与网络中的如何监控和保护Linux进程安全
11-25
通过综合采用用户级别的top、ps等系统工具以及Linux内核防护技术,我们可以从用户/内核两个层次全方位地保护Linux系统中重要系统进程以及用户进程的安全性,从而达到保护Linux系统安全的目的。  经典的信息保密性...
利用Linux防火墙隔离本地欺骗地址的方法详解
01-10
即便是被入侵检测和隔离系统所保护的远程网络,黑客们也在寻找各种精巧的方法入侵。IDS/IPS 不能停止或者减少那些想要接管你的网络控制权的黑客攻击。不恰当的配置允许攻击者绕过所有部署的安全措施。 在这篇文章中...
记一次入侵Linux服务器和删除木马程序的经历
01-10
晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有...
论文研究-基于系统调用的Linux系统入侵检测技术研究.pdf
07-22
提出了一种基于系统调用、面向进程Linux系统入侵检测方法:利用LKM(Loadable Kernel Modules)技术在Linux内核空间获取检测源数据——所考察进程的系统调用,使用基于极大似然系统调用短序列的Markov模型提取进程...
linux检查是否有D进程,Linux查看进程打开多少文件描述符命令-lsof
weixin_31570865的博客
04-28 739
lsof简介lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因...
linux检查是否有D进程,Linux内核调试技术——进程D状态死锁检测
weixin_31659557的博客
04-28 832
Linux进程存在多种状态,如TASK_RUNNING的运行态、EXIT_DEAD的停止态和TASK_INTERRUPTIBLE的接收信号的等待状态等等(可在include/linux/sched.h中查看)。其中有一种状态等待为TASK_UNINTERRUPTIBLE,称为D状态,该种状态下进程不接收信号,只能通过wake_up唤醒。处于这种状态的情况有很多,例如mutex锁就可能会设置进程于...
linux检查是否有D进程,Linux的CPU-Load虚高之进程的D状态
weixin_36073959的博客
04-28 1221
写在前面前几天从同事手里接盘了一个 HHKB 的键盘,虽说是顶级的配置,但是如果不提一句的话估计大家都不会意识到码出这篇博文的工具如此高大上,同时意味着我要持续吃土小半年了。就像之前博文提到的,我工作的重心从业务开发逐渐向基础平台建设转移,关注的点从 CPU 和内存变成了更为宏观的系统架构、稳定性、性能等。一方面需要站的足够高,如此才能理清楚系统的整体脉络,避免在解决一个棘手问题的时候再引入另一个...
如何分析D状态进程
A8316124的博客
10-20 6300
在使用top查看进程状态时,我们有时候会看到D状态的进程。 w: S -- Process Status The status of the task which can be one of: ’D’ = uninterruptible sleep ’R’ = running ’S
对/etc/rc.d/init.d/目录的一点理解
cradmin的专栏
04-09 8616
辅助环境:rh9,fc7另:本文如无特殊解释,init.d指的就是/etc/rc.d/init.d目录。本文包括3部分内容1、        Linux的引导过程2、        运行级别3、        /etc/rc.d/ 与/etc/rc.d/init.d的关系都仅限于自身的理解,如有差错和不足的地方请指正和补充!一起学习,一起进步。        “/etc/rc.d/init.d/目
关于/etc/rc.d 的各种介绍,详细必看
freelyc的专栏
02-05 1万+
init inittab rc0 rc1 rc2 rc3 rc5 rc6 rcS init.dinit 系统启动超级进程inittab 进程启动配置文件rc0 - rc6 各启动级别的启动脚本rcS 单用户模式启动脚本init.d 启动脚本存放目录rc0.d: eeprom OpenBoot状态,可以进入硬件维护模式,或关闭机器。rc1.d: 单用户模式
CentOS下 /etc/rc.d/ 目录
zhuangshu_feng'‘每天进步一点点
04-03 3389
rc.d的内容如下:  init.d/ :各种服务器和程序的二进制文件存放目录。   rc.sysinit脚本 rc脚本 rc.local 脚本 rc0.d目录:目录中存放的是init.d的软连接。 rc*.d目录下的内容是一些软连接,例如: 系统启动方式和执行次序: 加载内核  执行init程序  /etc/rc.d/rc.sysinit # 由ini
linux安全检查方法,Linux安全检查方法
weixin_30959723的博客
05-14 146
检查系统密码文件,查看文件修改日期[root@fedora ~]# ls -l /etc/passwd查看passwd文件中有哪些特权用户[root@fedora ~]# awk -F: '$3==0 {print $1}' /etc/passwd查看系统里有没有空口令帐户awk -F: 'length($2)==0 {print $1}' /etc/shadow检查系统守护进程cat /etc/...
如何杀掉D状态的进程?[zt]
最实用的Linux博客
06-22 8903
原贴:http://www.xclinux.cn/?p=752如何杀掉D状态的进程?[zt]       状态为 D (Uninterruptible sleep) ,以及状态为 Z (Zombie)这些垃圾进程要么是求而不得,像怨妇一般等待资源(D),要么是僵而不死,像冤魂一样等待超度(Z),它们在 CPU run_queue 里滞留不去,把 Load Average 弄的老高老高,
如何查看Linux系统是否被黑客入侵
04-24
您可以通过以下几个步骤来检查Linux系统是否被黑客入侵: 1. 检查系统日志:使用命令“tail -f /var/log/syslog”或“tail -f /var/log/messages”来查看系统日志文件,看是否有异常登录或其他异常行为。 2. 检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值