随着开源产品的越来越盛行,作为一个
Linux
运维工程师,能够清晰地鉴别
异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,
整理了几种常见的
机器被黑情况供参考。
背景信息:以下情况是在
CentOS 6.9
的系统中查看的,其它
Linux
发行版类似。
1.
入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相
关命令示例:
2.
入侵者可能创建一个新的存放用户名及密码文件,可以查看
/etc/passwd
及
/etc/shadow
文
件,相关命令示例:
3.
入侵者可能修改用户名及密码文件,可以查看
/etc/passwd
及
/etc/shadow
文件内容进行鉴
别,相关命令示例:
4.
查
看
机
器
最
近
成
功
登
陆
的
事
件
和
最
后
一
次
不
成
功
的
登
陆
事
件
,
对
应
日
志
“
/var/log/lastlog
”
,相关命令示例:
5.
查看机器当前登录的全部用户,对应日志文件“
/var/run/utmp
”
,相关命令示例:
6.
查看机器创建以来登陆过的用户,对应日志文件“
/var/log/wtmp
”
,相关命令示例:
7.
查看机器所有用户的连接时间(小时)
,对应日志文件“
/var/log/wtmp
”
,相关命令示例:
8.
如果发现机器产生了异常流量,
可以使用命令
“
tcpdump
”
抓取网络包查看流量情况或者
使用工具”
iperf
”查看流量情况。
9.
可以查看
/var/log/secure
日志文件,尝试发现入侵者的信息,相关命令示例: