11个审查Linux是否被入侵的方法

一、检查系统日志

lastb命令

检查系统错误登陆日志,统计IP重试次数

二、检查系统用户

1、cat /etc/passwd

查看是否有异常的系统用户

2、grep “0” /etc/passwd

查看是否产生了新用户,UID和GID为0的用户

3、ls -l /etc/passwd

查看passwd的修改时间,判断是否在不知的情况下添加用户

4、查看是否存在特权用户

awk -F: ‘$3= =0 {print $1}’ /etc/passwd

5、查看是否存在空口令帐户

awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow

三、检查异常进程

1、注意UID为0的进程

使用ps -ef命令查看进程

2、察看该进程所打开的端口和文件

lsof -p pid命令查看

3、检查隐藏进程
  • ps -ef | awk ‘{print }’ | sort -n | uniq >1
  • ls /porc |sort -n|uniq >2
  • diff 1 2

四、检查异常系统文件

  • find / -uid 0 –perm -4000 –print
  • find / -size +10000k –print
  • find / -name “…” –print
  • find / -name “.. “–print
  • find / -name “. “ –print
  • find / -name “ “ –print

五、检查系统文件完整性

  • rpm –qf /bin/ls
  • rpm -qf /bin/login
  • md5sum –b 文件名
  • md5sum –t 文件名

六、检查RPM的完整性

  • rpm -Va  #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs

M – Mode differs (permissions)

5 – MD5 sum differs

D – Device number mismatch

L – readLink path mismatch

U – user ownership differs

G – group ownership differs

T – modification time differs

七、检查网络

  • ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)
  • lsof –i
  • netstat –nap(察看不正常打开的TCP/UDP端口)
  • arp –a

八、检查系统计划任务

  • crontab –u root –l
  • cat /etc/crontab
  • ls /etc/cron.*

九、检查系统后门

  • cat /etc/crontab
  • ls /var/spool/cron/
  • cat /etc/rc.d/rc.local
  • ls /etc/rc.d
  • ls /etc/rc3.d

十、检查系统服务

  • chkconfig —list
  • rpcinfo -p(查看RPC服务)

十一、检查rootkit

  • rkhunter -c
  • chkrootkit -q

转载:原文:http://www.centoscn.cn/2663.html

11个审查Linux是否被入侵的方法的更多相关文章

  1. Linux 主机被入侵后的处理案例

    Linux主机被入侵后的处理案例 提交 我的留言 加载中 已留言 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Lin ...

  2. IEEE802.11数据帧在Linux上的抓取

    IEEE802.11数据帧在Linux上的抓取终于得到了梦寐的<802.11无线网络权威指南>,虽然是复印版本,看起来也一样舒服,光看书是不行的,关键还是自己练习,这就需要搭建一个舒服的实 ...

  3. linux系统被入侵后处理经历【转】

    背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流 ...

  4. 记一次Linux系统被入侵的过程

    记一次Linux系统被入侵的过程 1. 前期现象 前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重.因为这台机器是通过楼下adsl拨号上网, ...

  5. Linux服务器被入侵后的处理过程(转发阿良)

    Linux服务器被入侵后的处理过程   突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况. 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 ...

  6. linux下定时执行任务方法【转】

     之前就转过一篇关于定时任务的文章,前俩天用,还的翻出来看!!!再转一次,备用,,需要的时候不用麻烦找! ----------------------------------------------- ...

  7. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  8. Linux的段错误调试方法

    linux段错误的调试方法 相关博文: http://blog.csdn.net/htianlong/article/details/7439030 http://www.cnblogs.com/pa ...

  9. [Linux/Ubuntu] vi/vim 使用方法讲解(转载)

    转自:http://www.cnblogs.com/emanlee/archive/2011/11/10/2243930.html vi/vim 基本使用方法 vi编辑器是所有Unix及Linux系统 ...

随机推荐

  1. 终于有SpringMvc与Struts2的对比啦(转)

    本文转自:http://www.itsource.cn/web/news/5/20150318/370.html 目前企业中使用SpringMvc的比例已经远远超过Struts2,那么两者到底有什么区 ...

  2. uva 688 - Mobile Phone Coverage

    经典问题,矩形面积并. 解法:一.矩形分割,每个矩形的两个横坐标和两个纵坐标排序,这样得到2n*2n个区间,对这些区间依次判断是否包含在n个矩形中间即可.      二.扫描线.具体还没实现过. 详见 ...

  3. ASP.NET MVC 中将FormCollection与实体间转换方法【转】

    将Action动作中传递的FormCollection转变成对应的实体,可以使用Controller的TryUpdateModel()方法. 示例如下: [HttpPost] public Actio ...

  4. Java自学资料——线程

    [转]传智播客成都java培训中心学员笔记. 线程: static int MAX_PRIORITY 线程能够具有的最高优先级. static int MIN_PRIORITY 线程能够具有的最低优先 ...

  5. 流API--使用并行流

    这篇博客一起来研究下使用并行流.借组多核处理器并行执行代码可以显著提高性能,但是并行编程可能十分复杂且容易出错,流API提供的好处之一是能够轻松可靠的并行执行一些操作.请求并行处理流,首先要获得一个并 ...

  6. ORACLE中修改表的Schema的总结

    前阵子遇到一个案例,需要将数据库中的几个表从USER A 移动到USER B下面,在ORACLE中,这个叫做更改表的所有者或者修改表的Schema.其实遇到这种案例,有好几种解决方法.下面我们通过实验 ...

  7. NVCC src/caffe/util/math_functions.cu

    解决办法:由于安装的cuda版本是7.5,当前下载的caffe版本比较新,需要修改里面的makefile文件,屏蔽下面的代码,cuda<8.0 In the Makefile.example, ...

  8. 定时器和函数的使用初级------移动一个div元素

    在页面的动画效果中,经常有看到某个小块从一个地方移动到另一个地方的现象,现在,我们也来自己做一个这样的小动画,涉及到的基础包括定时器的使用和函数的使用 例如,我们要实现一个小方块从左面移动到右面,然后 ...

  9. cannot import name &#39;Flask&#39; from &#39;flask&#39;

    今天发现了智障的真我. 刚入门flask,建了一个文件命名叫flask.py 在virtualenv的容器里运行该py文件,报错cannot import name 'Flask' from 'fla ...

  10. xvfb-run: error: xauth command not found 解决方式

    解决方式转于:http://tokanao.com/blog/2016/07/13/blog.html 错误提示 array(2) { [0]=> string(27) "which: ...