溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

檢查Linux是否被入侵的方法有哪些

發(fā)布時間:2021-07-28 18:21:27 來源:億速云 閱讀:154 作者:chen 欄目:系統(tǒng)運維

本篇內(nèi)容介紹了“檢查Linux是否被入侵的方法有哪些”的有關(guān)知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠?qū)W有所成!

本文給大家收集整理了一些審查Linux系統(tǒng)是否被入侵的方法,這些方法可以添加到你運維例行巡檢中。

1. 檢查帳戶

代碼如下:


# less /etc/passwd</p> <p># grep :0: /etc/passwd(檢查是否產(chǎn)生了新用戶,和UID、GID是0的用戶)</p> <p># ls -l /etc/passwd(查看文件修改日期)</p> <p># awk -F: &lsquo;$3= =0 {print $1}&rsquo; /etc/passwd(查看是否存在特權(quán)用戶)</p> <p># awk -F: &lsquo;length($2)= =0 {print $1}&rsquo; /etc/shadow(查看是否存在空口令帳戶)


2. 檢查日志

代碼如下:


# last
(查看正常情況下登錄到本機的所有用戶的歷史記錄)


注意”entered promiscuous mode”

注意錯誤信息

注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3. 檢查進程

代碼如下:


# ps -aux(注意UID是0的)</p> <p># lsof -p pid(察看該進程所打開端口和文件)</p> <p># cat /etc/inetd.conf | grep -v “^#”(檢查守護進程)</p> <p>檢查隱藏進程</p> <p># ps -ef|awk &lsquo;{print }&rsquo;|sort -n|uniq >1</p> <p># ls /porc |sort -n|uniq >2</p> <p># diff 1 2


4. 檢查文件

代碼如下:


# find / -uid 0 &ndash;perm -4000 &ndash;print</p> <p># find / -size +10000k &ndash;print</p> <p># find / -name “&hellip;” &ndash;print</p> <p># find / -name “.. ” &ndash;print</p> <p># find / -name “. ” &ndash;print</p> <p># find / -name ” ” &ndash;print</p> <p>注意SUID文件,可疑大于10M和空格文件
# find / -name core -exec ls -l {} \
(檢查系統(tǒng)中的core文件)</p> <p>檢查系統(tǒng)文件完整性</p> <p># rpm &ndash;qf /bin/ls</p> <p># rpm -qf /bin/login</p> <p># md5sum &ndash;b 文件名</p> <p># md5sum &ndash;t 文件名


5. 檢查RPM

代碼如下:


# rpm &ndash;Va
輸出格式:</p> <p>S &ndash; File size differs</p> <p>M &ndash; Mode differs (permissions)</p> <p>5 &ndash; MD5 sum differs</p> <p>D &ndash; Device number mismatch</p> <p>L &ndash; readLink path mismatch</p> <p>U &ndash; user ownership differs</p> <p>G &ndash; group ownership differs</p> <p>T &ndash; modification time differs</p> <p>注意相關(guān)的 /sbin, /bin, /usr/sbin, and /usr/bin


6. 檢查網(wǎng)絡

代碼如下:


# ip link | grep PROMISC(正常網(wǎng)卡不該在promisc模式,可能存在sniffer)</p> <p># lsof &ndash;i</p> <p># netstat &ndash;nap(察看不正常打開的TCP/UDP端口)</p> <p># arp &ndash;a


7. 檢查計劃任務

代碼如下:


注意root和UID是0的schedule</p> <p># crontab &ndash;u root &ndash;l</p> <p># cat /etc/crontab</p> <p># ls /etc/cron.*


8. 檢查后門

代碼如下:


# cat /etc/crontab</p> <p># ls /var/spool/cron/</p> <p># cat /etc/rc.d/rc.local</p> <p># ls /etc/rc.d</p> <p># ls /etc/rc3.d</p> <p># find / -type f -perm 4000


9. 檢查內(nèi)核模塊

代碼如下:


# lsmod


10. 檢查系統(tǒng)服務

代碼如下:


# chkconfig</p> <p># rpcinfo -p(查看RPC服務)


11. 檢查rootkit

代碼如下:


# rkhunter -c</p> <p># chkrootkit -q

“檢查Linux是否被入侵的方法有哪些”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實用文章!

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI