11个检查Linux是否被入侵的方法
本文给大家收集整理了一些审查Linux系统是否被入侵的方法,这些方法可以添加到你运维例行巡检中。
1. 检查帐户
复制代码代码如下:
# less /etc/passwd/p
# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)
# ls -l /etc/passwd(查看文件修改日期)
# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)
# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)
2. 检查日志
复制代码代码如下:
# last
(查看正常情况下登录到本机的所有用户的历史记录)
注意”entered promiscuous mode”
<>
注意错误信息
注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
3. 检查进程
复制代码代码如下:
# ps -aux(注意UID是0的)/p
# lsof -p pid(察看该进程所打开端口和文件)
# cat /etc/inetd.conf | grep -v “^#”(检查守护进程)
检查隐藏进程
# ps -ef|awk ‘{print }’|sort -n|uniq >1
# ls /porc |sort -n|uniq >2
# diff 1 2
4. 检查文件
复制代码代码如下:
# find / -uid 0 –perm -4000 –print
# find / -size +10000k –print
# find / -name “…” –print
# find / -name “.. ” –print
# find / -name “. ” –print
# find / -name ” ” –print
注意SUID文件,可疑大于10M和空格文件
# find / -name core -exec ls -l {} \
(检查系统中的core文件)
检查系统文件完整性
# rpm –qf /bin/ls
# rpm -qf /bin/login
# md5sum –b 文件名
# md5sum –t 文件名
5. 检查RPM
复制代码代码如下:
# rpm –Va
输出格式:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin
6. 检查网络
复制代码代码如下:
# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)
# lsof –i
# netstat –nap(察看不正常打开的TCP/UDP端口)
# arp –a
7. 检查计划任务
复制代码代码如下:
注意root和UID是0的schedule
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*
8. 检查后门
复制代码代码如下:
# cat /etc/crontab
# ls /var/spool/cron/
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000
9. 检查内核模块
复制代码代码如下:
# lsmod
10. 检查系统服务
复制代码代码如下:
# chkconfig
# rpcinfo -p(查看RPC服务)
11. 检查rootkit
复制代码代码如下:
# rkhunter -c
# chkrootkit -q
<>
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10
相关文章
- 20个Win10升级常见问题解决办法
- 最新Win1021H1专业版永久免费激活码推荐 含激活工具
- Linux系统性能优化的两个重要参数介绍
- CentOS下常见的系统服务以及相关的关闭方法
- 玩转windows8操作系统 15个win8实用技巧
- Windows 10正式版 9个令人期待的新功能盘点
- freebsd9.0安装教程图文详解
- Windows 10正式版确定于7月底发布
- Win10系统自带秒表在哪如何打开使用(适合运动或考试)
- 英文版XP中文软件乱码的解决方法
- 一些 freebsd 的常用命令
- 巧用powercfg –h off命令 Win10关闭系统休眠方法
- 如何解决Win10更新错误0x8024401c怎么办?Win10更新失败错误0x8024401c的解决方法
- GTX1080装不上驱动怎么办 GTX1080装不上驱动解决办法
热门系统
热门文章
常用系统
- 1华硕笔记本&台式机专用系统 海量驱动 GHOSTXPSP3 2018年7月 ISO镜像下载
- 2电脑公司Ghost Win7 Sp1 装机万能版2020年12月(32位) 提供下载
- 3深度技术Ghost Win8.1 x32位 特别纯净版2021年1月(免激活) ISO镜像高速下载
- 4新萝卜家园电脑城专用系统 Windows10 x64 中秋特别 企业版2020年9月(64位) ISO镜像免费下载
- 5新萝卜家园Ghost Win8.1 X64位 纯净版2019年6月(自动激活) ISO镜像高费下载
- 6联想笔记本&台式机专用系统 Windows10 企业版 2018年5月(64位) ISO镜像快速下载
- 7笔记本&台式机专用系统 GHOSTXPSP3 2020年4月 海驱版 ISO镜像高速下载
- 8番茄花园Ghost Win8.1 x64 办公纯净版2020年5月(激活版) ISO镜像高速下载
- 9雨林木风Ghost Win8.1 32位 最新纯净版2018年8月免激活) ISO镜像免费下载
- 10电脑公司Ghost Win7 Sp1 装机万能版2018年4月(32位) 提供下载