本文介绍了在系统被入侵后如何通过检查异常文件来追踪入侵者信息,包括查找SUID文件、大文件、空格文件和core文件,并强调了验证系统文件完整性的方法,如对比md5值。此外,还提到了使用AIDE工具自动化检查文件完整性。同时,检查网络状态,如网卡是否处于混杂模式和异常端口监听,也是确保系统安全的重要步骤。
检查系统异常文件
对于被入侵的系统,通过检查系统异常文件可以追踪入侵的信息,比如检查SUID的文件、一些空格文件等。
1 检查一下 SUID的文件
# find / -uid 0 -perm 4000 -print
2 检查大于10M的文件
# find / -size +10000k –print
3 检查空格文件
# find / -name “…” –print
# find / -name “.. ” –print
# find / -name “. ” –print
# find / -name ” ” –print
4 检查系统中的core文件
# find / -name core -exec ls -l {} \ ()
检查系统文件的完整性
系统文件的完整性是
1 检查linux系统文件的完整性
尤其注意以下几个目录 /sbin,/bin,/usr/bin
例如:
# whereis ls
# md5sum /usr/bin/ls
当然也可以写成脚本的形式,对批量生成系统文件md5值与正常系统做比对,如果md5值与正常系统不一样。那说明你的系统可能被入侵了。
2 利用工具AIDE检查系统文件的完整性
通过手动检查系统文件的md5方面,效率不是很高,可以通过AIDE软件来辅助检查系统文件的完整性,该软件的具体使用方法详见官方文档
检查网络
网络方面通过检查网卡的是不是处于混杂模式,检查系统中网络监听的端口,对于一些非系统,非业务的端口尤其是要重点关注。
1 检查网卡模式
# ip link | grep PROMISC(正常网卡不该在promisc混杂模式,可能存在sniffer)
网卡处于混杂模式,这样通过网卡的流量都会被监听
2 检查恶意程序开放的端口及打开的文件
#netstat -ntlup
#lsof -i: 端口号
文章教程参考来源:头条号老王谈运维
以上是关于
扫一扫
2736
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
