Linux服务器入侵排除
本帖最后由 以谁为师 于 2017-9-26 18:26 编辑1. 检查帐户展开目录
awk -F: '$3==0 {print $1}' /etc/passwd
#查看是否存在特权用户
awk -F: 'length($2)==0 {print $1}' /etc/shadow
#查看是否存在空口令帐户
awk -F\: '{system("passwd -S "$1)}' /etc/passwd|awk '{print $1,$3}'
#查看账户创建日期
2. 检查日志展开目录
last |head -20#查看登录信息
grep Failed /var/log/secure |egrep -o '{1,3}(\.{1,3}){3}' |sort |uniq -c|sort -nr |head -10
3. 检查进程展开目录
ps -aux#注意UID是0的
lsof -p pid#察看该进程所打开端口和文件
#cat /etc/inetd.conf | grep -v “^#”(检查守护进程)
检查隐藏进程
ps -ef|awk '{print }'|sort -n|uniq >1
ls /proc |sort -n |uniq >2
diff 1 2
4. 检查文件展开目录
find / -uid 0 -perm -4000 -print
find / -size +10000k -print|xargsdu -sh|sort -nr #10M以上的文件
find / -name “…” -print
find / -name “.. ” -print
find / -name “. ” -print
find / -name ” ” -print
注意SUID文件,可疑大于10M和空格文件
find / -name core -exec ls -l {} ;(检查系统中的core文件)
检查系统文件完整性展开目录
rpm -qf /bin/ls
rpm -qf /bin/login
md5sum -b 文件名
md5sum -t 文件名
5. 检查 RPM展开目录
**** Hidden Message *****
RE: Linux服务器入侵排除
多谢分享了!RE: Linux服务器入侵排除
1111111111111111111111111111 xxxxtxxxxxxxxxx dsafdsfasdasda 多谢分享了! hhhhhhhsdajdaskD [幸运时时彩]https://1685100.com/view/shishicai_xy/ssc_index.html[幸运飞艇]https://www.1685100.com/view/xingyft/pk10kai.html
[超级大乐透]https://1685100.com/view/cjdlt/index.html 请楼主授权,谢谢。 路过新人,学习学学。
页:
[1]
2