检查Linux是否被入侵的方法

最新推荐文章于 2024-04-30 19:59:27 发布
最新推荐文章于 2024-04-30 19:59:27 发布
阅读量96 收藏
点赞数
文章标签: 操作系统 awk 运维

一、检查系统日志

lastb //检查系统错误登陆日志,统计IP重试次数

二、检查系统用户

1cat /etc/passwd //查看是否有异常的系统用户
2grep "0" /etc/passwd //查看是否产生了新用户,UID和GID为0的用户
3ls -l /etc/passwd //查看passwd的修改时间,判断是否在不知的情况下添加用户
4awk -F : '$3==0 {print $1}' /etc/passwd //查看是否存在特权用户
5awk -F : 'length($2)==0 {print $1}' /etc/shadow //查看是否存在空口令帐户

 

三、检查异常进程

//1、注意UID为0的进程
ps -ef
//2、察看该进程所打开的端口和文件
lsof -p pid
//3、检查隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc |sort -n|uniq >2
diff 1 2

 

四、检查异常系统文件

find / -uid 0 –perm -4000 –print
find / -size +10000k –print
find / -name '...' -print
find / -name '.. ' -print
find / -name '. ' -print
find / -name ' ' -print

五、检查系统文件完整性

rpm -qf /bin/ls
rpm -qf /bin/login
md5sum –b 文件名
md5sum –t 文件名

六、检查网络

ip link | grep PROMISC //(正常网卡不该在promisc模式,可能存在sniffer)
lsof –i
netstat -anp //(察看不正常打开的TCP/UDP端口)
ss
arp -a

七、检查系统计划任务

crontab -u root -l
cat /etc/crontab
ls /etc/cron.*

八、检查系统后门

cat /etc/crontab
ls /var/spool/cron/
cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d

九、检查系统服务

chkconfig --list
rpcinfo -p(查看RPC服务)

 

十、检查rootkit

rkhunter --check  //(若无,yum install rkhunter)
chkrootkit -q

 

weixin_34344403
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统被入侵后处理实战
02-25
操作系统:Ubuntu12.04_x64运行...于是联系机房协助解决,授权机房技术登录到系统:首先通过w命令查看是否有异常用户在登录;再查看登录日志/var/log/auth.log,预料之中,日志已经清空;最后使用iftop工具找出占用大量流
Linux检查日志是否入侵,11个审查Linux是否被***的方法
weixin_36089077的博客
05-04 579
11个审查Linux是否被***的方法一、检查系统日志lastb命令检查系统错误登陆日志,统计IP重试次数二、检查系统用户1、cat /etc/passwd查看是否有异常的系统用户2、grep “0” /etc/passwd查看是否产生了新用户,UID和GID为0的用户3、ls -l /etc/passwd查看passwd的修改时间,判断是否在不知的情况下添加用户4、查看是否存在特权用户awk -...
linux检查是否有D进程,11个检查Linux是否入侵方法
weixin_34169503的博客
04-28 194
本文给大家收集整理了一些审查Linux系统是否入侵方法,这些方法可以添加到你运维例行巡检中。1. 检查帐户复制代码代码如下:# less /etc/passwd# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)# ls -l /etc/passwd(查看文件修改日期)# awk -F: ‘$3= =0 {print $1}’ /etc/passwd...
Linux入侵检测方法
00勇士王子的博客
03-05 1106
1进程2端口3日志4流量5计划。
linux系统被入侵文件权限被修改了,浅谈 linux入侵排查方法
weixin_35244067的博客
05-15 962
一:概述本文主要通过查看系统相关信息排查系统能否被入侵。二:排查方法1:查看登陆账号信息 last -a ,能否陌生账号和IP信息who last -a2:查看/etc/passwd 文件内容多个0权限ID和异常IDpasswd -0 id3:查看 cat /var/log/secure | more | grep "authentication failure" 失败信息和 last -a 信息...
数据库被攻击linux查看入侵痕迹,CentOS系统通过日志反查是否入侵
weixin_29717341的博客
05-03 2222
一、查看日志文件Linux查看/var/log/wtmp文件查看可疑IP登陆last -f /var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last...
Linux操作系统安全及入侵排查
09-30
2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查...
linux-nids.rar_linux nids_入侵检测
09-24
linux下的入侵检测的代码,能够检查端口扫描的入侵。我也不是什么高手,仅供大家交流参考
Virtualbox7.0.10--创建虚拟机
醉殇姒若梦遗年 ツ的博客
04-29 336
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
【鸿蒙开发】第二十二章 Media Library媒体文件管理服务
最新发布
Yvan
04-30 596
提供了,包括照片和视频,帮助你的应用快速构建图片视频展示和播放能力。通过Media Library Kit, 开发者可以管理相册和媒体文件,包括创建相册以及访问、修改相册中的媒体信息等,其中对三方应用开放的能力有:媒体资源(图片、视频)相关获取指定媒体资源获取图片和视频缩略图创建媒体资源(安全控件)重命名媒体资源用户相册相关获取用户相册重命名用户相册添加图片和视频到用户相册中获取用户相册中的图片和视频从用户相册中移除图片和视频系统相册相关视频相册。
各大系统安装GO语言环境基本方法
赛时科技
04-26 245
请注意,上述步骤可能会根据具体的操作系统版本和Go语言版本有所不同。在安装过程中,如果遇到任何问题,建议查阅Go语言的官方文档或相关社区资源以获取帮助。安装Go语言环境主要涉及到下载和安装Go语言的编译器和工具链。来验证Go语言环境是否成功安装。如果成功安装,你将看到安装的Go语言版本号。安装完成后,你可以通过在终端或命令提示符中输入。
LINUX系统编程:动静态库的制作
W2155的博客
04-26 186
gcc -o main mian.c -L./ -lmymath //库的名字是去掉前缀和后缀的libmymath.a mymath。例:我写了一个函数,我想让别人使用,但是并不像让使用者看到我写的代码,就可以把我的代码制作成一个库,提供给使用者。ar -rc libmymath.a add.o sub.o//-rc(crate和replace)将add.c sub.c add.h sub.h 制作成静态库。1.首先要将add.c sub.c编译生成.o文件。使用-L选项制定库的路径,-l指定库的名称。
[Linux_IMX6ULL驱动开发]-设备树简述
levi的博客
04-24 946
这个属性有一点重要的作用是,假如我这里有两块板子,板子A以及板子B,同时使用了一个公板的设备树节点XXX.dtsi(dtsi表示可以被设备树使用#include包含),此时我的板子A不需要使用到公板的uart节点,那么我们直接在板子A的设备树中,使用&uart来引用此节点,再把状态设置为disable即可。设备树的属性如果不是自定的,那么可以直接获取,比如说reg属性,就是MEM资源,interrupts属性,就是IRQ资源,这些都是可以直接调用函数platform_get_resource获取。
常见Linux操作系统SSH配置详解
weixin_42132035的博客
04-25 386
SSH(Secure Shell)是一种网络协议,用于加密方式远程登录和操作计算机系统。Linux用户经常需要通过SSH来安全地管理系统。本文将详细介绍在不同Linux发行版(CentOS、Ubuntu、RedHat、Debian、Fedora)上配置SSH服务的步骤。
鸿蒙 harmonyos 线程 并发 总结 async promise Taskpool woker(四)多线程并发 Worker管理
qq_28641891的博客
04-25 587
多线程并发 Worker管理的管理 分发 监听
036——完善编译框架和注释并选择开源协议
qq_52479948的博客
04-25 956
经过两个月的努力现在已经写了457MB的代码了├── board├── build├── client├── driver├── OS├── output├── server└── tools├── bash└── src。
如何使用bof-launcher在CC++Zig应用程序中执行Beacon对象文件(BOF)
FreeBuf_的博客
04-26 669
bof-launcher是一个开源库,可以在Windows和UNIX/Linux系统上加载、重新定位和启动BOF。当前版本的bof-launcher支持下列功能:1、与Cobalt Strike的Beacon完全兼容,可以编译和运行Cobalt Strike Community Kit中提供的每一个BOF以及其他所有遵循通用BOF模板的开源BOF;2、作为一个完全独立的库分发,不依赖与任何其他组件(甚至不使用libc);3、支持与C/C++/Zig应用程序完美集成;
百种提权及手段一览系列第8集
qq_35254085的博客
04-26 722
特权升级的危险是显而易见的。批注:https://github.com/djhohnstein/SharpWeb/releases/tag/v1.2。批注:https://github.com/vivami/SauronEye/releases/tag/v0.0.9。类型: Enumeration & Hunt。类型: Enumeration & Hunt。类型: Enumeration & Hunt。类型: Enumeration & Hunt。类型: Enumeration & Hunt。
Linux系统安装Redis7(详细版)
weixin_43154319的博客
04-27 857
gcc是linux下的一个编译程序,是C程序的编译工具。GCC(GNU Compiler Collection) 是 GNU(GNU’s Not Unix) 计划提供的编译器家族,它能够支持 C, C++, Objective-C, Fortran, Java 和 Ada 等等程序设计语言前端,同时能够运行在 x86, x86-64, IA-64, PowerPC, SPARC和Alpha 等等几乎目前所有的硬件平台上。
Linux怎么查看端口是否入侵
06-08
要查看Linux系统上的端口是否入侵,可以使用以下命令: 1. netstat命令:用于显示网络状态信息,包括网络连接、路由表、接口状态等。可以使用以下命令来查看当前开放的端口: ``` netstat -an | grep LISTEN ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值