Linux服务器疑似被入侵?用11步确诊

最新推荐文章于 2024-03-12 13:15:00 发布
最新推荐文章于 2024-03-12 13:15:00 发布
阅读量380 收藏 2
点赞数
分类专栏: Admin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44221613/article/details/104319814
版权

Linux服务器疑似被入侵?这11步确诊够用了

随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,结合工作经历,整理了几种常见的机器被黑情况供参考。

背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。

1、入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例:

[root@hlmcen69n3 ~]# ll -h /var/log/*
-rw-------. 1 root root 2.6K Jul  7 18:31 /var/log/anaconda.ifcfg.log
-rw-------. 1 root root  23K Jul  7 18:31 /var/log/anaconda.log
-rw-------. 1 root root  26K Jul  7 18:31 /var/log/anaconda.program.log
-rw-------. 1 root root  63K Jul  7 18:31 /var/log/anaconda.storage.log
[root@hlmcen69n3 ~]# du -sh /var/log/*
8.0K /var/log/anaconda
4.0K /var/log/anaconda.ifcfg.log
24K  /var/log/anaconda.log
28K  /var/log/anaconda.program.log
64K  /var/log/anaconda.storage.log

2、入侵者可能创建一个新的存放用户名及密码文件,可以查看/etc/passwd及/etc/shadow文件,相关命令示例:

[root@hlmcen69n3 ~]# ll /etc/pass*
-rw-r--r--. 1 root root 1373 Sep 15 11:36 /etc/passwd
-rw-r--r--. 1 root root 1373 Sep 15 11:36 /etc/passwd-
[root@hlmcen69n3 ~]# ll /etc/sha*
----------. 1 root root 816 Sep 15 11:36 /etc/shadow
---
最低0.47元/天 解锁文章
技术需要沉淀
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
liunx如果被入侵了怎么办
王海翔的博客
03-15 346
入侵排查思路 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失, 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路 一、账号安全 who 查看当前登录用户(tty本地登陆 pts远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、
今天服务器有被入侵的迹象
tankejin的专栏
11-27 1060
昨天服务器两次很短时间的连接失败,因为周末没有注意,想着可能是共享带宽的拥堵吧。今天早上来第一件事情就是打开服务器查看日志,结果发现大量不明IP地址的登陆失败记录,立刻感觉到有人瞄上我们了,所以下一工作就是弄好服务器的安全,其他事情延后,先找个最新的UPDATE 4装上,呵呵。 
服务器入侵检查
rulerer的博客
08-10 1935
服务器入侵检查骤 查看/etc/passwd和/etc/shadow文件是否有可疑账号 查找服务器登录日志记录 核心启动日志:/var/log/dmesg系统报错日志:/var/log/messages邮件系统日志:/var/log/maillogFTP系统日志:/var/log/xferlog安全信息和系统登录与网络连接的信息:/var/log/secure 登录记录:/var/log...
溯源(三)之Linux-入侵排查
最新发布
qq_44005305的博客
03-12 924
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
服务器入侵最简单明了解决方法
weixin_67757219的博客
02-14 265
最直接的解决办法是立即关闭服务器,以防止攻击者继续损害系统。然后,应该进行安全审计,以确定攻击者的入侵方式,并采取措施防止未来发生类似的入侵。此外,应该检查服务器上的所有文件,以确保攻击者没有损坏或篡改任何文件。最后,应该重新安装服务器,并采取有效的安全措施,以防止未来的入侵
Linux溯源技巧
zizizizizi_的博客
03-15 3668
一.溯源的思路 看对方的目标,最终的目的是什么,根据自己的能力看实现这个目标需要哪些操作,看这些操作过程中存在着那些日志 入手点 1.网站源码 2.日志分析 3.系统存储信息分析 4.分析进程端口 二.网站源码分析 分析网站源码可以帮助我们获取网站入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。 1.查杀后门 可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。 找到 webshell 后,就可以根据该文件的路径,在日志
linux局域网教程,Linux局域网探测
weixin_32535389的博客
05-02 417
如果我们身为工程师或网络管理员,那么我们肯定遇到过这样的情况,我们临时要用到某个Ip地址,或我们要知道192.168.2.0这个网络中所有的地址哪个被用掉了,你会怎么做呢?还有,你要检测一堆服务器中哪个服务器是正常运行的,哪个已经Down掉了。一个服务器一个服务器去查?噢no!!!这是个什么样的工作量啊!!关键是这样做太繁琐,下面我们来看个实例,用脚本快速探测一段网络中哪个服务器是正常运行的,哪个...
Linux入侵排查深入分析查找入侵原因
Climbman的博客
06-23 1131
入侵检测排查,运行 /etc/init.d/sshd restart(Centos7以下)或 systemctl restart sshd(Centos7及其以上)或 /etc/init.d/ssh restart(Debian/Ubuntu)命令重启使配置生效。检查说明:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。针对个别目录设置可写权限。
Web安全1.4:溯源、部分Linux命令:
LIHAO的博客
04-15 3386
文章目录Web安全1.4:溯源、部分Linux命令:1、溯源:(1)top 命令:(2)netstat命令:2、相关Linux命令: Web安全1.4:溯源、部分Linux命令: 说明:本实验环境采用的 Linux 为 Redhat 版本,但有些命令并不是此版本的,只要了解思路即可。 1、溯源: 溯源直接可以翻译为寻找上游,我们可以理解为寻求根源。 由于这里说的是网络安全,因此我们可以这样来理解,...
服务器入侵了,溯源全过程(实战)
diaobusi的博客
06-22 2058
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
网络安全风险感知和发掘,练习题
热门推荐
g5703129的博客
03-28 2万+
一、单项选择题 1. BurpSuite插件支持哪两种编程语言?() A.C#、Java B.Java、Python C.Ruby、Perl D.PHP、Java 2. HTTP请求中,设置()请求方法可获取服务器的应用服务信息。 A.Head B.Trace C.POST D.OPTIONS 3. UNIX系统中用户的有效用户组是() A.运行时是不可变 B.任意...
Linux排查服务器是否已经被入侵
李凯的博客
05-11 1684
入侵者可能会删除机器的日志信息 可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@centos8 ~]# ls -h /var/log/* /var/log/boot.log /var/log/dnf.librepo.log-20210502 /var/log/hawkey.log-20210502 /var/log/boot.log-20200828 /var/log/dnf.librepo.log-20210509 /var/lo
怎么知道网站是否被黑 服务器是否被入侵
网站安全专家
06-17 1799
很多客户网站服务器入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序,以及网站被上传webshell的安全提醒,包括腾讯云提示服务器有木马文件,客户网站被攻击的第一时间,是需要立即处理的,降损失降到最低,让网站恢复正常的访问,由于每个客户找到...
一次服务器入侵的处理过程分享
「 虚幻私塾」
08-31 501
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。,我在生活和现实面前低头了。...
如何排查Linux机器是否已经被入侵
xianjie0318的博客
12-22 792
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考   背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似   1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hlmc
linux如何判断服务器是否被入侵
美国梦中国心
12-11 2688
centos,服务器linux
如何检查linux服务器是否被入侵
08-06 1755
入侵服务器的症状 当服务器被没有经验攻击者或者自动攻击程序入侵了的话,他们往往会消耗 100% 的资源。他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件,也可能消耗带宽来发动 DoS 攻击。 因此出现问题的第一个表现就是服务器 “变慢了”。这可能表现在网站的页面打开的很慢,或者电子邮件要花很长时间才能发送出去。 那么你应该查看那些东西呢? 检查 1 - 当...
使用java编程连接mysql进行对表ncov中统计每个大洲每天的确诊数、疑似数、死亡数和治愈数。按确诊数、疑似数、死亡数和治愈数的顺序降序排序,输出排名前三的大洲
06-07
// 查询每个大洲每天的确诊数、疑似数、死亡数和治愈数,并按确诊数降序排序 String sql = "SELECT continent, date, confirmed, suspected, deaths, cured " + "FROM ncov " + "ORDER BY confirmed DESC"; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值