Linux黑客入侵检测的排查思路(全)

最新推荐文章于 2024-08-05 21:35:03 发布
最新推荐文章于 2024-08-05 21:35:03 发布
阅读量906 收藏 6
点赞数 1
分类专栏: Linux 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46622350/article/details/117985398
版权

检查账号

查看是否有新增用户

检查是否有UID和GID是0的账号 UID为0代表具有root权限

查看具有root权限的用户

查看用户文件的修改日期

查看是否有空密码的用户(原理就是密码文件的第二行不为空就是有密码)

检查日志

日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。

查看日志的最后10条

时事更新日志

查看所有开启的端口

查看最近用户的登录时间

查看登录失败记录

查看用户上一次的登录情况

检查进程

查看全部进程,特别注意UID为0的

查看进程打开过得文件(-p后面接的PID)

查看守护进程的文件

检查开机启动进程

检查系统

检查文件

被入侵的网站,通常肯定有文件被改动,那么可以通过比较文件创建时间、完整性、文件路径等方式查看文件是否被改动。

查找root用户的文件

查看大于10M的文件

检查计划任务

查看root的计划任务

查看计划任务的配置文件

检查历史命令任务

查看用户家目录下的.bash_history文件或者使用history命令

breeze10000
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
快速自检电脑是否被黑客入侵过(Linux版)
12-25 476
前言 严谨地说, Linux只是一个内核, `GNU Linux`才算完整的操作系统, 但在本文里还是用通俗的叫法, 把`Ubuntu`,`Debian`,`RedHat`,`CentOS`,`ArchLinux`等发行版都统称为`Linux`. 本文里所说的方法不仅对Linux的发行版适用, 部分方法对`Mac OSX`操作系统也是适用的. 异常的帐号和权限 如果黑客曾经获得...
Linux入侵排查
江小白
07-02 595
查看CPU信息lscpu查看当前操作系统信息uname -a查看所有载入系统的模块信息lsmod分析超级权限账户:查询可登录账户UID为0的账户,root是UID为0 的可登录账户,如果出现其它为0的账户,就要重点排查:查看所有用户信息cat /etc/passwdnologin表示状态不可登录bin/表示账户可登录查看当前用户登录系统情况查看用户最近登录信息查看所有用户最后的登录时间查看当前用户信息crontab -lcrontab -u root -l查看进程netstat -anptlredhat l
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1251
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查思路。 0x01 入侵排查思路 1.1 账号安全 基...
Windows以及Linux的入侵排查
qq_60600840的博客
06-03 703
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
Linux应急响应入侵排查思路
weixin_50815573的博客
04-24 754
0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查思路。 0x01 入侵排查思路 一、账号安全 基本使用: 1、用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/b
入侵排查与响应-window和linux
weixin_49349476的博客
07-03 2288
入侵检测:看看你的电脑有没有被入侵过,应急响应:如果你的电脑被入侵了,应该怎么做 讲述linux和window系统一些入侵检测的方法,如果你担心或者好奇你的电脑有没有被入侵的化,可以试试用这些方法检查一下
Linux服务器被入侵后的排查思路(应急响应思路)
人若有志,就不会在半坡停止。
11-12 2067
黑客在9月6日14:31:39——14:33:11对服务器进行爆破,且在 14:33:09成功爆破出root账户密码并且进行登录,登录之后在9月6日14:37:22 植入了 .shell.elf 后门(根据成功爆破出root账户的时间可知 9月5日18:00:06 为 .shell.elf后门的创建时间,并非植入时间)、在14:38:00 植入了 /.centos_core.elf 后门、在 14:43:31 植入了ps命令后门、在 14:48:08写了恶意定时任务,恶意IP为192.168.1.132。
渗透测试基础 - - - linux入侵排查
weixin_67503304的博客
10-24 2340
本文主要讲述了linxu中如果遭遇网络攻击的排查步骤及其详细的使用方法。
linux 入侵检测
whatday的专栏
03-20 3115
最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询。   一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不...
Linux TCP内核参数设置与调优(详细)!
热门推荐
weixin_46622350的博客
08-05 1万+
Linux内核中的TCP参数 /proc/sys/net/ipv4/ /proc/sys/net/ipv4/存放着TCP参数的文件,目录中的内容用来添加网络设置,在其中的许多设置,可以用来阻止对系统的攻击,或用来设置系统的路由功能。 tcp_syn_retries 客户端发起SYN连接,如果超时会进行重传,重传的次数 接着我们使用sysctl net.ipv4.tcp_syn_retries=2把这个参数修改为2测试一下 接着我们来验证一下,我们去ssh一台不存在的主机,因为ssh也是基于tcp 通
Linux配置RAID详解()!
weixin_46622350的博客
07-19 6002
RAID的基本概念 磁盘阵列(Redundant Arrays of Independent Disks,RAID),有“独立磁盘构成的具有冗余能力的阵列”之意。简单地说, RAID 是由多个独立的高性能磁盘驱动器组成的磁盘子系统,从而提供比单个磁盘更高的存储性能和数据冗余的技术。 RAID 的初衷是为大型服务器提供高端的存储功能和冗余的数据安全。在整个系统中, RAID 被看作是由两个或更多磁盘组成的存储空间,通过并发地在多个磁盘上读写数据来提高存储系统的 I/O 性能。大多数 RAID 等级具有完备
Linux】常用配置文件路径
weixin_46622350的博客
04-29 2754
用户文件 /etc/passwd 存放账户信息 /etc/shadow 存放用户密码 组群文件 /etc/group 存放组群信息 /etc/gshadow 存放组群密码 系统配置 /etc/rc.d/init.d 用于放置几乎所有服务的启动脚本 /etc/profile 系统环境 /etc/bashrc 系统变量 /etc/hosts 或者 /etc/sysconfig/network 修改主机名 /etc/inittab 设置默认启动级别 /etc/alias...
超级详细的Linux抓包工具tcpdump详解!
weixin_46622350的博客
07-23 1820
简介 tcpdump是Linux下一款命令行抓包程序,使用tcpdump之前,可以先看一下它提供的帮助。 tcpdump官方文档手册:https://www.tcpdump.org/manpages/tcpdump.1.html root@kali:~# tcpdump --help tcpdump version 4.9.3 libpcap version 1.9.1 (with TPACKET_V3) OpenSSL 1.1.1g 21 Apr 2020 Usage: tcpdump [-aAbdDe
Linux运维一定要懂的sudoers!
weixin_46622350的博客
07-22 1366
简述 Linux默认是没有将用户添加到sudoers列表中的,需要root手动将账户添加到sudoers列表中,才能让普通账户执行sudo命令。 root 账户键入visudo即可进入sudo配置,这个命令要比vim /etc/sudoers要好很多,因为使用visudo进行sudo配置,将会得到很多提示 工作过程具体是: 当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限,当确认该用户拥有可执行sudo的权限后,于是让让用户输入用户自己的密码确认。 当若密
Linux shell编程基础(详细)!
weixin_46622350的博客
08-25 587
简介 Shell是一个用 C 语言编写的程序,它是用户使用 Linux的桥梁。Shell既是一种命令语言,又是一种程序设计语言。Shell是指一种应用程序,这个应用程序提供了一个界面,用户通过这个界面访问操作系统内核的服务。同时,Bash也是大多数Linux系统默认的 Shell。 基础使用 可执行文件的执行方式,注意文件开头#!/bin/bash 输出重定向 符号 说明 命令 > 文件 以覆盖的方式把命令的正确输出结果保存在文件中 命令 >> 文件 以追加的方式把
Linux运维一定要知道的服务管理!
weixin_46622350的博客
08-03 452
简介 在 Linux中,无论何时当你安装任何带有服务和守护进程的包,系统默认会把这些服务的初始化及 systemd脚本添加进去,不过此时它们并没有被启用。 我们需要手动的开启或者关闭那些服务。Linux中有三个著名的且一直在被使用的初始化系统。 在以Linux/Unix为基础的操作系统上,init(初始化的简称) 是内核引导系统启动过程中第一个启动的进程。 init 的进程id (pid)是1,除非系统关机否则它将会一直在后台运行。 init 首先根据 /etc/inittab 文件决定Linux运行的级别
关于进程间通信的练习
最新发布
gjvrnv的博客
08-05 102
1> 使用有名管道实现,一个进程用于给另一个进程发消息,另一个进程收到消息后,展示到终端上,并且将消息保存到文件上。2> 使用有名管道实现两个进程间相互通信。
linux入侵排查思路
04-24
好的,我理解你的要求。针对Linux入侵,可以采取以下排查思路: 1. 检查系统日志,包括 /var/log/messages、/var/log/auth.log、/var/log/secure 等,查看是否存在异常登录、权限变更等记录。 2. 执行系统安全性检查工具,如 Lynis、Rootkit Hunter、Chkrootkit 等,检查系统是否存在漏洞或已被入侵。 3. 检查系统进程、网络连接等情况,使用工具如 ps、netstat、lsof 等,寻找不正常的进程、连接。 4. 扫描系统快照、备份等,对比系统当前状态,查找异常变更。 5. 分析系统文件,使用工具如 md5sum、sha256sum 等,查看文件是否被篡改。 6. 部署安全审计工具,如 SELinux、AppArmor 等,进行安全防护和监测。 以上是一些常见的排查思路,不同情况下可能需要不同的方法和工具。希望能对你有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值