一:概述
本文主要通过查看系统相关信息排查系统能否被入侵。
二:排查方法
1:查看登陆账号信息 last -a ,能否陌生账号和IP信息
who last -a
2:查看/etc/passwd 文件内容多个0权限ID和异常ID
passwd -0 id
3:查看 cat /var/log/secure | more | grep "authentication failure" 失败信息和 last -a 信息比照
secure
4: netstat -antp 能否不常使用端口和进程ID/连接数
netstat -antp
5: 查看/var/log/日志能否被清理,消失。
6: 查找/根目录下最近修改文件 find / -mtime -1 -type f -exec ls -l {} \; 【执行命令/临时目录/等】
find
7:查抓定时任务启动项应使用程序配置文件(修改 md5变化)
rc.local
crontab -l
三:以上七种方法是基本排查思路,一般能找到蛛丝马迹。(平常多关注您服务器启动应使用能否有漏洞,redis apache nginx 等)。有些被入侵在应使用上面下手,一时那发现。---后续讲防止入侵方法,安全加固,攻击防患。建议linux 服务器最好开启防火墙,常使用安全加固。