linux系统被入侵文件权限被修改了,浅谈 linux 被入侵排查方法

最新推荐文章于 2024-04-08 11:29:41 发布
最新推荐文章于 2024-04-08 11:29:41 发布
阅读量966 收藏 2
点赞数
文章标签: linux系统被入侵文件权限被修改了

一:概述

本文主要通过查看系统相关信息排查系统能否被入侵。

二:排查方法

1:查看登陆账号信息 last -a ,能否陌生账号和IP信息

6648ae3e3e3885afb7f45d29e6ddd6c8.png

who last -a

2:查看/etc/passwd 文件内容多个0权限ID和异常ID

be6755bb2ccfc3e7ab9b34baf4bd45a6.png

passwd -0 id

3:查看 cat /var/log/secure | more | grep "authentication failure" 失败信息和 last -a 信息比照

fc24af19a38627966ee62b57e48796c5.png

secure

4: netstat -antp 能否不常使用端口和进程ID/连接数

3ff4d0ddd403e93437746eab4494ab32.png

netstat -antp

5: 查看/var/log/日志能否被清理,消失。

76db6d5d5843d8c3f12606a8b4b5ddb9.png

6: 查找/根目录下最近修改文件 find / -mtime -1 -type f -exec ls -l {} \; 【执行命令/临时目录/等】

ce7e05add95b5887d1d54188704b060c.png

find

7:查抓定时任务启动项应使用程序配置文件(修改 md5变化)

af7f6f85c07a45206fe1374ba97f2d73.png

rc.local

1ebf6dc6284e42494f1f5911305139fe.png

crontab -l

三:以上七种方法是基本排查思路,一般能找到蛛丝马迹。(平常多关注您服务器启动应使用能否有漏洞,redis apache nginx 等)。有些被入侵在应使用上面下手,一时那发现。---后续讲防止入侵方法,安全加固,攻击防患。建议linux 服务器最好开启防火墙,常使用安全加固。

诗遥一妈
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统安全及入侵排查
09-30
本PPT介绍: 1、Linux操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:账号口令、登陆认证授权、网络与服务、日志要求、其他安全配置,根据上述五个方面的要求提供了详尽的配置操作及说明。 2、Linux系统入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
Linux入侵排查.docx
05-07
Linux入侵排查
Linux /etc下的文件权限修改,无法使用 sudo su
qq_18854303的博客
05-08 1387
/etc/sudo.conf is world writable
主机有被植入挖矿病毒篡改系统库文件
最新发布
eagle89的专栏
04-08 826
主机有被植入挖矿病毒篡改系统库文件
Linux系统目录权限chmod误操作权限修复方法
热门推荐
ycc541的专栏
04-28 1万+
Linux中,如果意外误操作将/目录权限批量设置,比如chmod -R 777 / ,系统中的大部分服务以及命令将无法使用,这时候可以通过系统自带的getfacl命令来拷贝和还原系统权限,若是其他系统目录被误操作,同样可行。修复的方法如下: 1、通过一台权限正常的Linux(最好内核版本和故障服务器相同) 通过getfacl -R / >systemp.b
解决方案-问题001:物理机、虚机等等Linux操作系统/usr/bin目录权限误操作,导致无法切换root
辉辉的博客
09-08 726
导语:平常运维人员会误操作一些目录权限,导致一些问题,那么如何恢复呢? 问题:物理机、虚机等等Linux操作系统/usr/bin目录权限误操作,导致无法切换root? 实验环境: ip地址 是否目录正常 内核版本 备注 192.168.140.136 目录正常机器 3.10.0-1160.el7.x86_64 192.168.140.138 目录损坏机器 3.10.0-1160.el7.x86_64 误操作 问..
完蛋了!我不小心把整个Linux操作系统的权限都给修改了!在线等修复!
运维少年
12-08 363
最近一个客户在群里说他一不小心把某台业务服务器的根目录权限给改了,本来想修改当前目录,结果执行成了根目录。看到这里我顿感不妙!果然,他接着在群里@了我,我只想说但我没这么做,因为客户就是上帝啊...作为一个运维搜索工程师,我第一步肯定是打开浏览器搜一下了,结果发现特别简单,解决了之后来水一篇文章。只需用到getfacl和setfacl就行,下面用实验环境来模拟一下!1、设备test001有data目录,data目录下的文件权限如下2、模拟误操作3、问题不大,从另一个设备test002中使用。
linux 目录防篡改,Linux下的防篡改技巧
weixin_31880681的博客
04-30 975
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?Linux下的防篡改技巧-1何为防窜改防篡改 即防止数据在使用和存储的过程中被非法篡改的手段.从上图就可以看出, 数据的篡改可能发生在任意一个环节. 只要一个环节出了问题, 就可能影响到整个数据的运作流程. 那如何防范呢?勤劳人的人会去修补加固每一个环节, 而聪明的人会先钉死一个环节.所以无论用什么手段, 只要能矫正数据...
Windows服务器被入侵后如何实现排查工作,应该从那几方面入手,排查什么内容
tigerman20201的博客
11-25 1394
1. 检查系统账号 (1) 检查远程管理端口是否对公网开放,服务器是否存在弱口令。 检查方法: 检查防火墙映射规则,获取服务器账号登录,也可根据实际情况咨询相关管理员。 (2)查看服务器是否存在可疑账号或新增账号。 检查方法: 打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,请立即删除。 (3)查看服务器是否存在隐藏账号。 检查方法: 运行CMD命令使用net use,看不到test$这个账号,但在控制面板和本地
linux下如何查看文件被篡改
aaajavac的博客
01-25 3248
linux使用Inotify监控目录或者文件状态变更:https://blog.csdn.net/daiyudong2020/article/details/51695502
Linux攻击排查
YangLuxxx123
06-23 1190
入侵排查 1.2 历史命令 1.3 检查端口 1.4 检查异常进程 1.5 检查卡机启动项 运行级别 含义 0 关机 1 单用户模式,可以想象为windows的安全模式,主要用于系统修复 2 不完全的命令行模式,不含NFS服务 3 完全的命令行模式,就是标准字符界面 4 系统保留 5 图形模式 6 重启动 查看运行状态 入侵排查 1.6 检查定时任务 [linux下crontab与anacrontab的使用 ]crond 常用参数anacron 异步定时
linux 进程 劫持,Linux 命令被劫持了,怎么处理
weixin_28993425的博客
04-30 593
本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。1、AIDE 入侵检测AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
排查Linux机器是否已经被入侵.doc
08-13
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。
CentOS系统通过日志反查是否被入侵
09-30
最近有个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的。下面就...
linux修改文件权限
SigMap
03-24 1782
最近接触到很多需要修改文件或者文件夹权限的操作,但是一直没有一个明确的方法,只学会了777....这样是不太安全的,所以准备整理一下修改权限的常用指令。 在一个文件夹中,使用ls指令可以显示出当前文件夹下有什么文件;使用ll指令可以显示当前文件夹下有哪些文件、文件的权限、以及大小。 例如nginx文件夹下的内容 第一栏指示权限(后面会具体说到所表示的含义);第二栏表示所有者;箭头表示大小,这里是文件夹,所以统一为4096;第三栏表示文件名。 drwx-xr-x这些表示什么含义? 这里的d表
linux目录误设置权限恢复,linux 系统 chmod 误操作权限异常修复方式
weixin_39623244的博客
04-28 1002
Linux 系统中如果意外误操作将根目录或系统默认关键目录权限批量设置,比如 chmod -R 777 / ,系统中的大部分服务以及命令将无法使用,这时候可以通过系统自带的 getfacl 和 setfacl 命令来拷贝和还原系统权限,若是其他系统目录被误操作,同样可行。假设执行了 chmod -R 777 / ,常见会导致的问题有:a、密码正确,但是无法登陆系统b、重启服务器后启动卡住c、服务启...
学习检查Linux是否遭到入侵篡改
传说中的小黑的博客
08-02 2372
最近在忙服务器上线的事,所以不可避免的要预防系统入侵的方案,所以在学习怎样检查判断自己的系统是否被别人动过. 1.安装个后门监测软件,查查关键文件是否被篡改过 我下了个chkrootkit 安装过程 yum install gcc gcc-c++ make yum install glibc-static cd /usr/local/src/ wget ftp
linux 目录防篡改,linux 下同步方案以及站点文件的防篡改(伪)
weixin_39611072的博客
04-30 138
linux 下同步方案以及站点文件的防篡改(伪)通道: 使用ssh协议通信,利用ssh的 authorized_keys 特性,使用ssh-keygen生成不带有密码的密钥。执行: crond来设定执行周期注: 下面 local 指本地,server指同步的服务器,pwd 指当前目录路径安全方面, 使用普通非登录(nologin)用户进行数据的交换。静态文件同步 - rsync视频文件和图片文件...
怎么排查Linux系统被黑客入侵了,排查顺序是什么
03-27
排查Linux系统被黑客入侵的顺序如下: 1. 检查系统日志:查看系统日志,特别是syslog、auth.log和message等文件,查看是否有异常登录、用户操作等记录。 2. 检查网络连接:使用命令netstat或ss查看系统当前的网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值