一、檢查系統日誌
lastb命令檢查系統錯誤登陸日誌,統計ip重試次數
二、檢查系統使用者
1、cat /etc/passwd
檢視是否有異常的系統使用者
2、grep 「0」 /etc/passwd
檢視是否產生了新使用者,uid和gid為0的使用者
3、ls -l /etc/passwd
檢視passwd的修改時間,判斷是否在不知的情況下新增使用者
4、檢視是否存在特權使用者
awk -f: 『$3= =0 』 /etc/passwd
5、檢視是否存在空口令帳戶
awk -f: 『length($2)= =0 』 /etc/shadow
三、檢查異常程序
1、注意uid為0的程序
使用ps -ef命令檢視程序
2、察看該程序所開啟的埠和檔案
lsof -p pid命令檢視
3、檢查隱藏程序
ps -ef | awk 『』 | sort -n | uniq >1
ls /porc |sort -n|uniq >2
diff 1 2
四、檢查異常系統檔案
find / -uid 0 –perm -4000 –print
find / -size +10000k –print
find / -name 「…」 –print
find / -name 「.. 「–print
find / -name 「. 「 –print
find / -name 「 「 –print
五、檢查系統檔案完整性
rpm –qf /bin/
lsrpm -qf /bin/login
md5sum –b 檔名
md5sum –t 檔名
六、檢查rpm的完整性
rpm -va #注意相關的/sbin,/bin,/usr/sbin,/usr/bin
輸出格式說明:
s – file size differs
m – mode differs (permissions)
5 – md5 sum differs
d – device number mismatch
l – readlink path mismatch
u – user ownership differs
g – group ownership differs
t – modification time differs
七、檢查網路
ip link | grep promisc(正常網絡卡不該在promisc模式,可能存在sniffer)
lsof –i
netstat –nap(察看不正常開啟的tcp/udp埠)
arp –a
八、檢查系統計畫任務
crontab –u root –l
cat /etc/crontab
ls /etc/cron.*
九、檢查系統後門
cat /etc/crontab
ls /var/spool/cron/
cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d
十、檢查系統服務
chkconfig —list
rpcinfo -p(檢視rpc服務)
十一、檢查
rootkitrkhunter -c
chkrootkit -q
**源站:
檢查Linux系統是否被入侵
今天看到乙個有意思的攻擊方式,系統被人入侵,當這個入侵程式執行的時候會產生乙個程序pid,一般這個程序不是在 proc中產生的,所以可以用指令碼匹配系統有沒有被入侵。嘗試一下指令碼,學習shell中。我用ps aux可以檢視到程序的pid,而每個pid都會在 proc中產生。如果檢視到的pid在 p...
Linux檢視是否被入侵
一.檢查系統日誌 lastb命令檢查系統錯誤登陸日誌,統計ip重試次數 二.檢查系統使用者 1 cat etc passwd檢視是否有異常的系統使用者 2 grep 0 etc passwd檢視是否產生了新使用者,uid和gid為0的使用者 3 ls l etc passwd檢視passwd的修改時...
排查Linux伺服器是否有被入侵方法總結
日常運維工作中,我們對linux伺服器進行安全檢查也是乙個非常重要的環節。今天,分享一下如何檢查linux伺服器是否遭受了入侵,所謂的伺服器被入侵或者說被黑了的意思,是指未經授權的人或程式為了自己的某種目的登入到伺服器上,通常會產生不好的影響。一些攻擊者會在訪問伺服器的同時濫用伺服器資源,並且還不大...