查詢linux入侵證據

2021-10-10 21:15:27 字數 666 閱讀 5339

要查詢linux系統入侵證據,可從如下幾個方面入手:

1.last,lastlog命令可檢視最近登入的帳戶及時間

2./var/log/secure , /var/log/messages日誌資訊可以通過accept關鍵字檢視系統是否有被可疑ip位址登入成功資訊。

3.使用者任務計畫,檔案/var/spool/cron/tabs/使用者,某些黑客會將後門程式,病毒設定為計畫任務,定時執行

4.幾個經常被放置木馬,病毒的目錄,/tmp, /var/tmp, /dev/shm由於這些目錄都設定了sbit,即所有使用者都可讀,可寫,可執行。並且在訪問這些目錄的同時擁有root許可權,所以即使黑客沒有拿到root許可權,在這些目錄上傳病毒,木馬是非常方便的

5.通過時間來查詢,find / -ctime n n為指定的時間,可通過上述找到的資訊,綜合判斷,然後選取時間點,查詢在那個時間點建立的檔案。比如2天前的24小時內,就可用find / -ctime 2 > /tmp/file.log (如果不想刷屏,可重定向到檔案)

6.各類服務日誌,比如apache日誌:

$apache_home/logs/access_log ,$apache_home/logs/error_log

linux, 入侵證據

nikto使用教程

恢復windows server 2003的預設許可權設定

關於黑客入侵網路的證據收集與分析

如果有未經授權的入侵者入侵了你的網路,且破壞了資料,除了從備份系統中恢復資料之外,還需要做什麼呢?從事網路安全 工作的人都知道,黑客 在入侵之後都會想方設法抹去自己在受害系統上的活動記錄。目的是逃脫法律的制裁。而許多企業也不上報網路犯罪,其原因在於害怕這樣做會對業務運作或企業商譽造成負面影響。他們擔...

linux 病毒入侵,異常埠號查詢

使用top命令檢視cpu使用率為100 但是下面的執行緒cpu的使用率都很低,沒有高的。找不到高使用率的程序。sudo yum install perf 大家可以去看看arnold lu 南京,他的寫的很詳細。這邊我也就不詳細說明了。在perf安裝好了以後我們使用perf top s comm,pi...

Linux入侵檢查

history last lastlog看登入操作歷史 crontab l cat etc cron 看任務有無異常 top 看有沒有cpu占用高的,如果中了挖礦木馬,cpu占用會很高。sar n dev 看有沒有大流量 netstat anput看有無異常連線,異常連線的對端位址能不能封掉 lso...