linux木马排查手册,Linux系统是否被植入木马的排查流程梳理.doc

最新推荐文章于 2024-05-15 09:03:54 发布
最新推荐文章于 2024-05-15 09:03:54 发布
阅读量417 收藏 1
点赞数
文章标签: linux木马排查手册

Linux系统是否被植入木马的排查流程梳理.doc

Linux系统是否被植入木马的排査流程梳理

为保障系统安全要定期对系统进行安全检杳,此文档旨在检斉系统里是否存在未知进程及 木马和病毒。

一、是否入侵检查

1)检查系统日志

检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志, 比如系统被reboot或登陆情况)

lastlastb[root@gsweb data]#root root root root root root root root root root root root root roopts/1pts/1pts/3

lastlastb

[root@gsweb data]#

root root root root root root root root root root root root root roo

pts/1

pts/1

pts/3

pts/2

pts/1

pts/1

pts/1

pts/1

pts/1

pts/1

pts/3

pts/1

pts/3 pts/2

lastcomm lastlog last

98wedMar

98ThuJar

93 wed〕ar 98wedJar

98wedJan

98MonJar

98MonJar

98MonJar

98Thu3an

98TueJan

98ThuDec

98ThuDec

22wedDec

93wedD

4 10 0

08 15 13 32 27 04 51 35 22 23 14:28 19 57 53

n 12

53 35 8:35 7:03 2:02 0:50 15 56 22 22 22 49

2)检查系统用户

杳看是否有异常的系统用户 cat /etc/passwd

[root^gsweb data]# cat /etc/passwdroot :x:0:0: root:/root :/bin> bin:x:l:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbi n:/sbin/nologin adn:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sb1n/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:l2:ma11:/var/spool/mai1:/sbin/nol uucp:x:10:14:uucp:/var/spool/uu< operator:x:11:0:oper ator:/root:x:12:100:games:

[root^gsweb data]# cat /etc/passwd

root :x:0:0: root:/root :/bin> bin:x:l:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbi n:/sbin/nologin adn:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sb1n/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:l2:ma11:/var/spool/mai1:/sbin/nol uucp:x:10:14:uucp:/var/spool/uu< operator:x:11:0:oper ator:/root

:x:12:100:games:/usr/games:/sbin/nologin ier:x:13:3O:gopher:/var/gopher:/sbi n/nologin rtp:x:14:50:ftp user:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin usbmuxd:x:113:113:usbmuxd user:/:/sb1n/nologin

69:virtual console memory owner:/dev:/sbin/nologin x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/

呆呆小逗比
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统是否植入***的排查流程梳理
weixin_34129145的博客
12-13 225
在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一下如何检查linux系统是否遭受了***? 一、是否***检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastio...
2024年Linux 系统被黑客入侵!怎么排查?_linux系统排查(1)
2303_79055586的博客
05-01 568
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。我之前在这个上面困惑了一段时间。
Linux服务器中了病毒后的清理方法
weixin_45625174的博客
05-15 796
" -ls 和 find /usr/sbin/ -iname ".
linux木马排查
qq_39122260的博客
02-16 2062
排查 结合通过AIDE入侵检查服务查看那些被修改了 计划任务 查看 crontab -l -u root 开机启动 查看 cat /etc/rc{1..3}.d/rc.local 系统命令被人替换 查看 /家目录/.bashrc /etc/bashrc Alias 定一个触发事件 查看 top -d 1 pstree -ap | grep 异常进程pid ps -ef | grep 一场进程pid 定时备份清除历史命令记录文件 /root/.bash_histort 系
Linux系统是否植入木马排查流程梳理
bosschen
11-29 1117
Linux系统是否植入木马排查流程梳理
【ceph】如何打印一个osd的op流程排查osd在干什么
zerotoall的博客
11-24 313
【ceph】如何打印一个osd的op流程排查某个osd具体在干什么
linux 木马自查
dahuzi的专栏
11-30 1727
经检测您的云服务器(120.26.100.39)存在恶意发包行为,目前已经持续6小时,需要您尽快排查您的安全隐患。如恶意发包行为持续,36小时内我们将关停您的主机6小时,请您务必重视。谢谢。 如果自己不能解决,您可以购买我们的付费云托管服务http://www.aliyun.com/product/mss,安全工程师会提您排查解决,服务内容包括:如排查服务器WEB应用被黑,网站挂黑链,网站网页被修改
php实现Linux服务器木马排查及加固功能
10-24
在网络安全日益重要的今天,PHP实现Linux服务器木马排查及加固功能显得至关重要。本文将详细讲解如何利用PHP进行木马排查以及采取哪些措施来加固服务器安全。 首先,针对特征码查找是木马排查的基础。PHP木马通常会...
排查Linux机器是否已经被入侵.doc
08-13
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。
系统行为监控分析工具,木马病毒等非法程序排查的得力助手
02-23
1、从监控文件入手,当监控整个c盘时基本上可以找出所有正在操作的文件,可以查看整个系统实时文件的变动记录,并对文件进行查询删改等操作,锁定文件后可以找出哪些进程在操控他,排查到实体程序。 2、从监控进程...
Linux系统木马后门查杀方法详解
01-09
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:   一、Web Server(以Nginx为例)   1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)   2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)   3、path_info漏洞修正:   在nginx配置文件中增加: if ($request_filename ~* (.*).php) { set $php_url $1;          }
Linux木马检测技术分析与系统调用权限验证法.pdf
09-07
Linux木马检测技术分析与系统调用权限验证法.pdf
基于Linux的未知木马检测系统研究及实现.pdf
09-06
基于Linux的未知木马检测系统研究及实现.pdf
Liunx木马排查及纠结蛋碎的过程记录
巴途Way,专注Go,PHP,C开发
12-14 1319
开场白服务器挂了,原因纠结的查杀过程ifconfig发现网卡的发送、接收数据情况, 网卡eth0累计发送了52.5G 的数据。刚重启不久就这么多数据,不太正常。 另,5M带宽啊,平时最多占用3M,而现在直接跑满,进都进不去。 最后直接被阿里云把服务器停了,说对外进行大量的攻击。。。好吧,纠结,别人不攻击我们就万福了,哪有心情去攻击别人。 $ ll -al /usr/bin/bsd-port/
Linux后门排查
good good study
07-12 7658
目录 文件排查 查看历史命令记录 特殊权限文件查找 进程排查 日志排查 入侵检测工具——GScan 文件排查 查看开机启动项,是否存在可疑启动项 systemctl list-unit-files |grep enabled 查看历史命令记录 history|more 或 more /root/.bash_history 当时,当我们执行上面那两条历史命令的时候就会发现,结果不一样,history的内容比history多。因为bash执行命令时不是马上把命令名称写入.bas
Linux下手动查杀木马过程
weixin_44882388的博客
02-11 302
模拟木马程序病原体并让木马程序自动运行 1 模拟木马程序病原体并让木马程序自动运行 实战:黑客让脚本自动执行的3种方法: (1)、计划任务: crontab (2)、开机启动 (3)、系统命令被人替换,定一个触发事件 22.1.1 生成木马程序病原体 [root@zmedu63 ~]# vim /usr/bin/fregonnzkq #!/bin/bash touch /tmp/aaa.txt...
linux检测程序是否挂掉并自动重新运行的脚本
wssjn1994的博客
10-11 6960
编写一个脚本替代应用程序的运行,也就是通过启动脚本来启动程序,并监测程序是否挂掉,若挂掉则重新运行 #!/bin/sh while true do ps -ef | grep "$PWD/app/auto_run.sh" | grep -v "grep" if [ "$?" -eq 1 ] then /home/root/app/auto_run.sh #启动应用,修改成自己的启动应用脚本...
jiaoyanguizeduibi
最新发布
07-10
jiaoyanguizeduibi
linux系统木马文件后缀
08-01
Linux系统木马文件可以使用各种后缀来隐藏其真实性质。以下是一些常见的木马文件后缀: 1. .exe:这是Windows系统上常见的可执行文件后缀,但是也可以在Linux系统中伪装成.exe后缀的文件。 2. .sh:这是Shell...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值