Linux查看是否被入侵

Stella981
• 阅读 630

一.检查系统日志

lastb命令检查系统错误登陆日志,统计IP重试次数

二.检查系统用户

1、cat /etc/passwd查看是否有异常的系统用户

2、grep “0” /etc/passwd查看是否产生了新用户,UID和GID为0的用户

3、ls -l /etc/passwd查看passwd的修改时间,判断是否在不知的情况下添加用户

4、查看是否存在特权用户awk -F: ‘$3= =0 {print $1}’ /etc/passwd5、查看是否存在空口令帐户awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow

三.检查异常进程

1、注意UID为0的进程使用ps -ef命令查看进程

2、察看该进程所打开的端口和文件lsof -p pid命令查看

3、检查隐藏进程ps -ef | awk ‘{print }’ | sort -n | uniq >1ls /porc |sort -n|uniq >2diff 1 2

四.检查异常系统文件

find / -uid 0 –perm -4000 –printfind / -size +10000k –printfind / -name “…” –printfind / -name “.. “–printfind / -name “. “ –printfind / -name “ “ –print

五.检查系统文件完整性

rpm –qf /bin/lsrpm -qf /bin/loginmd5sum –b 文件名md5sum –t 文件名

六.检查rpm完整性

rpm -Va  #注意相关的/sbin,/bin,/usr/sbin,/usr/bin

七.检查网络

ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)lsof –inetstat –nap(察看不正常打开的TCP/UDP端口)arp –a

八.检查系统计划任务

crontab –u root –lcat /etc/crontabls /etc/cron.*

九.检查系统后门

cat /etc/crontabls /var/spool/cron/cat /etc/rc.d/rc.localls /etc/rc.dls /etc/rc3.d

十.检查系统服务

chkconfig —listrpcinfo -p(查看RPC服务)

十一.检查rootkit

rkhunter -cchkrootkit -q

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Wesley13 Wesley13
3年前
Ubuntu账户管理
Ubuntu账户:Ubuntu有三类账户:超级用户、普通用户以及系统用户。每一个用户在ubuntu中都必须拥有一种账户,在Ubuntu中,/etc/passwd用来保存每个账户的信息。实际密码保存在/etc/shadow中。/etc/passwd文件每行基本格式:username:password:uid:gid:ge
Wesley13 Wesley13
3年前
vsftpd功能介绍
用户认证:匿名用户:ftp,anonymous,对应Linux用户ftp,随便输密码,都能登录系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow虚拟用户:特定服务的专用用户,独立的用户/密码文件nsswitch:networkserviceswitch名称解析框架pam:pluggableauthe
Wesley13 Wesley13
3年前
MongoDB 分片管理(一)检查集群状态
一、检查集群状态1.1使用sh.status()查看集群摘要信息1、使用sh.status()可以查看分片信息、数据库信息、集合信息sh.status()如果数据块较多时,使用sh.status(true)又是输出会很多,就不会截断,要使用如下查看2、tooman
Stella981 Stella981
3年前
Memcache 安装与使用
1\.用户、组创建groupaddmemcache_创建组_cat/etc/passwd|grepmemcache_查看用户是否创建_useraddd/usr/memcachegmemcachemmemcache_创建用户_2\.下载wgethttp://w
Stella981 Stella981
3年前
Linux操作系统用户安全设置(转)
今天为大家介绍介绍Linux操作系统下用户安全问题!下面就为大家例出了几项,希望对您的Linux系统有所帮助。1.口令安全UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。/etc/passwd中包含有用户的登录名,经过加密的口令,用户号,用户组号
Stella981 Stella981
3年前
Linux下的用户管理,kali更换源,xshell
Linux下的用户管理用户信息保存/etc/passwd,一般用户都有读的权限真正的用户:修改密码,可以登录伪用户:应用程序在运行时会以某种权限来运行,并使用程序名来表示该程序,并存在/etc/passwd文件中,伪用户不可以直接登录pentest(用户名):x(密码):1000(UID):1000(GID):pentest,,,(
Stella981 Stella981
3年前
Shell 命令替换
1、命令替换,有两种方式  方式一:\command\  方式二:$(command)2、应用场景  在命令中通过命令替换的方式,将某些子命令的结果嵌入到当前命令中。3、举例  例1:获取系统所用用户并输出。  //命令形式cat/etc/passwd|cutd":"f1
Stella981 Stella981
3年前
Linux用户管理
Linux用户管理用户管理配置文件 用户信息文件:/etc/passwd                                 用户名,密码位,UID(用户标识号),GID(缺省组织标识号),注释性描述(例如存放用户全名等信息),宿主目录(用户登陆系统后的缺省目录),命令解释器(用户使用的Shell,默认为bash