Linux服务器入侵排除

以谁为师 · 发表于 2017-9-26 18:21:54

本帖最后由以谁为师于 2017-9-26 18:26 编辑

1. 检查帐户展开目录

awk -F: '$3==0 {print $1}' /etc/passwd
#查看是否存在特权用户
awk -F: 'length($2)==0 {print $1}' /etc/shadow
#查看是否存在空口令帐户
awk -F\: '{system("passwd -S "$1)}' /etc/passwd|awk '{print $1,$3}'
#查看账户创建日期
2. 检查日志展开目录

last |head -20  #查看登录信息
grep Failed /var/log/secure |egrep -o '[0-9]{1,3}(\.[0-9]{1,3}){3}' |sort |uniq -c|sort -nr |head -10
3. 检查进程展开目录

ps -aux  #注意UID是0的
lsof -p pid  #察看该进程所打开端口和文件
#cat /etc/inetd.conf | grep -v “^#”（检查守护进程）
检查隐藏进程
ps -ef|awk '{print }'  |sort -n|uniq >1
ls /proc |sort -n |uniq >2
diff 1 2
4. 检查文件展开目录

find / -uid 0 -perm -4000 -print
find / -size +10000k -print|  xargs  du -sh|sort -nr #10M以上的文件
find / -name “…” -print
find / -name “.. ” -print
find / -name “. ” -print
find / -name ” ” -print
注意SUID文件，可疑大于10M和空格文件
find / -name core -exec ls -l {} ;（检查系统中的core文件）
检查系统文件完整性展开目录

rpm -qf /bin/ls
rpm -qf /bin/login
md5sum -b 文件名
md5sum -t 文件名

5. 检查 RPM展开目录

游客，如果您要查看本帖隐藏内容请回复

net · 发表于 2019-4-5 21:29:13

多谢分享了！

q742017294 · 发表于 2019-7-30 16:23:46

1111111111111111111111111111

clownfive · 发表于 2019-8-20 21:30:04

xxxxtxxxxxxxxxx

15285401665 · 发表于 2020-2-11 12:27:34

dsafdsfasdasda

lymc0958 · 发表于 2020-6-3 09:18:28

多谢分享了！

hhhckck · 发表于 2020-11-28 13:17:24

hhhhhhhsdajdaskD

leslie99 · 发表于 2021-5-5 22:43:38

[幸运时时彩]https://1685100.com/view/shishicai_xy/ssc_index.html
[幸运飞艇]https://www.1685100.com/view/xingyft/pk10kai.html
[超级大乐透]https://1685100.com/view/cjdlt/index.html

MZHMDD · 发表于 2021-8-19 15:59:10

请楼主授权，谢谢。

test_feiji · 发表于 2021-9-7 10:24:16

路过新人，学习学学。

Linux服务器入侵排除

RE: Linux服务器入侵排除

RE: Linux服务器入侵排除

指导单位

旗下站点

联系我们