您现在的位置是:主页 > 免费服务器 >

Linux系统被入侵怎么检查?

2021-07-01 21:41免费服务器 人已围观

简介linux系统的服务器被入侵了怎么办,下面是总结的方法,可以供大家参考: 首先先用iptraf查下,如果没装的运行yuminstalliptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了...

  linux系统的服务器被入侵了怎么办,下面是总结的方法,可以供大家参考:
 
  首先先用iptraf查下,如果没装的运行yuminstalliptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门
 
  1、检查帐户
 
  #less/etc/passwd
 
  #grep:0:/etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)
 
  #ls-l/etc/passwd(查看文件修改日期)
 
  #awk-F:‘$3==0{print$1}’/etc/passwd(查看是否存在特权用户)
 
  #awk-F:‘length($2)==0{print$1}’/etc/shadow(查看是否存在空口令帐户)
 
  2、检查日志
 
  #last(查看正常情况下登录到本机的所有用户的历史记录)
 
  注意”enteredpromiscuousmode”
 
  注意错误信息
 
  注意RemoteProcedureCall(rpc)programswithalogentrythatincludesalargenumber(>20)strangecharacters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
 
  3、检查进程
 
  #ps-aux(注意UID是0的)
 
  #lsof-ppid(察看该进程所打开端口和文件)
 
  #cat/etc/inetd.conf|grep-v“^#”(检查守护进程)
 
  检查隐藏进程
 
  #ps-ef|awk‘{print}’|sort-n|uniq>1
 
  #ls/porc|sort-n|uniq>2
 
  #diff12
 
  4、检查文件
 
  #find/-uid0–perm-4000–print
 
  #find/-size+10000k–print
 
  #find/-name“…”–print
 
  #find/-name“”–print
 
  #find/-name“。”–print
 
  #find/-name””–print
 
  注意SUID文件,可疑大于10M和空格文件
 
  #find/-namecore-execls-l{};(检查系统中的core文件)
 
  检查系统文件完整性
 
  #rpm–qf/bin/ls
 
  #rpm-qf/bin/login
 
  #md5sum–b文件名
 
  #md5sum–t文件名
 
  5、检查RPM
 
  #rpm–Va
 
  输出格式:
 
  S–Filesizediffers
 
  M–Modediffers(permissions)
 
  5–MD5sumdiffers
 
  D–Devicenumbermismatch
 
  L–readLinkpathmismatch
 
  U–userownershipdiffers
 
  G–groupownershipdiffers
 
  T–modificationtimediffers
 
  注意相关的/sbin,/bin,/usr/sbin,and/usr/bin
 
  6、检查网络
 
  #iplink|grepPROMISC(正常网卡不该在promisc模式,可能存在sniffer)
 
  #lsof–i
 
  #netstat–nap(察看不正常打开的TCP/UDP端口)
 
  #arp–a
 
  7、检查计划任务
 
  注意root和UID是0的schedule
 
  #crontab–uroot–l
 
  #cat/etc/crontab
 
  #ls/etc/cron.*
 
  8、检查后门
 
  #cat/etc/crontab
 
  #ls/var/spool/cron/
 
  #cat/etc/rc.d/rc.local
 
  #ls/etc/rc.d
 
  #ls/etc/rc3.d
 
  #find/-typef-perm4000
 
  9、检查内核模块
 
  #lsmod
 
  10、检查系统服务
 
  #chkconfig
 
  #rpcinfo-p(查看RPC服务)
 
  11、检查rootkit
 
  #rkhunter-c
 
  #chkrootkit-q
 
  Filed under:

Tags:

本栏推荐

标签云