您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!

发布者:上海IT外包来源:http://www.lanmon.net点击数:1007

对于在线运行的业务系统,安全性是一个关键问题。服务器入侵最常见的表现形式是:从内部向外部发送大型数据包(由DDOS Broiler发送),服务器资源耗尽(挖掘),异常端口连接(反向shell),恶意删除服务器日志等。排除Linux系统管理员操作不当,如何检测您的系统是否被入侵?以下是一些与您分享的简单提示。
首先,检查系统日志
1.1检查系统登录日志并计算IP重试登录次数。
对于恶意登录系统行为,日志中会有线索,通过查看系统登录日志,计算重试登录次数,可以看到哪些IP和哪些用户恶意登录系统。
#lastb root | awk'{print $ 3}'|排序| uniq -c | sort -nr |更多
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
描述:
lastb命令需要root权限,可以显示所有登录信息,还可以显示指定用户的信息,然后直接与用户相关。
其次,检查系统用户
对于入侵行为,通常通过检查系统用户,可以找到一些线索,例如新用户和授权用户是否有异常。检查系统用户是入侵检测的一个重要方面。
2.1检查系统用户是否有异常
Cat/etc/passwd
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
2.2检查是否有新用户,特别是那些UID和GID为0的用户。
Awk -F':''{if($ 3==0){print $ 1}}'/etc/passwd
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
2.3检查是否有空密码帐户
Awk -F:'{if(length($ 2)==0){print $ 1}}'/etc/passwd您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
三,检查系统异常进程
对于受感染的系统,您可以检查该过程以找出正在运行的异常非系统和非业务流程。通过检查这些异常进程来检查恶意程序的来源。
3.1使用ps -ef命令查看进程
Ps -ef
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
使用UID作为root特别注意进程。
3.2查看进程打开的端口和文件
Lsof -p pid
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
3.3检查隐藏进程
Ps -ef | awk'{print $ 2}'| sort -n | uniq>
1; ls/proc | sort -n | uniq>
2; diff -y -W 40 1 2
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
描述:
所有lunux进程都记录在/proc中。请注意,此处的信息是最详细的。
第四,检查系统异常文件
对于受损系统,您可以通过检查系统异常文件来跟踪入侵信息,例如检查SUID文件,某些空间文件等。
4.1检查SUID文件
#find/-uid 0 -perm 4000 -print
4.2检查大于10M的文件
#find/-size + 10000k -print
4.3检查空白文件
#find/-name“...” -  print
#find/-name“..” -  print
#find/-name“。” -  print
#find/-name“” -  print
4.4检查系统中的核心文件
#find/-name core -exec ls -l {}()
第五,检查系统文件的完整性
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
系统文件的完整性是入侵检测的一个重要方面。特别是,通过检查某些常见系统命令的md5值,可以判断系统是否被黑客入侵。例如,ls,ping等通常被恶意程序伪造。执行这些系统命令时,实际执行恶意程序。
5.1检查Linux系统文件的完整性
请特别注意以下目录/sbin,/bin,/usr/bin#rkhunter -c
您需要多少步骤来确定Linux系统是否受到危害?分享9个提示!
参数说明:
-c:检查本地文件系统
9.2通过chkrootkit检查
#chkrootkit -q
9.3通过Tripwire检查
有关详细信息,请参阅官方文档https://www.tripwire.com/,此处不再详述。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部