温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

检查Linux是否被入侵的方法有哪些

发布时间:2021-07-28 18:21:27 来源:亿速云 阅读:160 作者:chen 栏目:系统运维

本篇内容介绍了“检查Linux是否被入侵的方法有哪些”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!

本文给大家收集整理了一些审查Linux系统是否被入侵的方法,这些方法可以添加到你运维例行巡检中。

1. 检查帐户

代码如下:


# less /etc/passwd</p> <p># grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)</p> <p># ls -l /etc/passwd(查看文件修改日期)</p> <p># awk -F: &lsquo;$3= =0 {print $1}&rsquo; /etc/passwd(查看是否存在特权用户)</p> <p># awk -F: &lsquo;length($2)= =0 {print $1}&rsquo; /etc/shadow(查看是否存在空口令帐户)


2. 检查日志

代码如下:


# last
(查看正常情况下登录到本机的所有用户的历史记录)


注意”entered promiscuous mode”

注意错误信息

注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3. 检查进程

代码如下:


# ps -aux(注意UID是0的)</p> <p># lsof -p pid(察看该进程所打开端口和文件)</p> <p># cat /etc/inetd.conf | grep -v “^#”(检查守护进程)</p> <p>检查隐藏进程</p> <p># ps -ef|awk &lsquo;{print }&rsquo;|sort -n|uniq >1</p> <p># ls /porc |sort -n|uniq >2</p> <p># diff 1 2


4. 检查文件

代码如下:


# find / -uid 0 &ndash;perm -4000 &ndash;print</p> <p># find / -size +10000k &ndash;print</p> <p># find / -name “&hellip;” &ndash;print</p> <p># find / -name “.. ” &ndash;print</p> <p># find / -name “. ” &ndash;print</p> <p># find / -name ” ” &ndash;print</p> <p>注意SUID文件,可疑大于10M和空格文件
# find / -name core -exec ls -l {} \
(检查系统中的core文件)</p> <p>检查系统文件完整性</p> <p># rpm &ndash;qf /bin/ls</p> <p># rpm -qf /bin/login</p> <p># md5sum &ndash;b 文件名</p> <p># md5sum &ndash;t 文件名


5. 检查RPM

代码如下:


# rpm &ndash;Va
输出格式:</p> <p>S &ndash; File size differs</p> <p>M &ndash; Mode differs (permissions)</p> <p>5 &ndash; MD5 sum differs</p> <p>D &ndash; Device number mismatch</p> <p>L &ndash; readLink path mismatch</p> <p>U &ndash; user ownership differs</p> <p>G &ndash; group ownership differs</p> <p>T &ndash; modification time differs</p> <p>注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin


6. 检查网络

代码如下:


# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)</p> <p># lsof &ndash;i</p> <p># netstat &ndash;nap(察看不正常打开的TCP/UDP端口)</p> <p># arp &ndash;a


7. 检查计划任务

代码如下:


注意root和UID是0的schedule</p> <p># crontab &ndash;u root &ndash;l</p> <p># cat /etc/crontab</p> <p># ls /etc/cron.*


8. 检查后门

代码如下:


# cat /etc/crontab</p> <p># ls /var/spool/cron/</p> <p># cat /etc/rc.d/rc.local</p> <p># ls /etc/rc.d</p> <p># ls /etc/rc3.d</p> <p># find / -type f -perm 4000


9. 检查内核模块

代码如下:


# lsmod


10. 检查系统服务

代码如下:


# chkconfig</p> <p># rpcinfo -p(查看RPC服务)


11. 检查rootkit

代码如下:


# rkhunter -c</p> <p># chkrootkit -q

“检查Linux是否被入侵的方法有哪些”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注亿速云网站,小编将为大家输出更多高质量的实用文章!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI