Linux系统被入侵该如何检测?

孟婆上碗汤尝尝

孟婆上碗汤尝尝

2016-02-19 19:44

下面,图老师小编带您去了解一下Linux系统被入侵该如何检测?,生活就是不断的发现新事物,get新技能~

Linux系统如果被入侵了,那么个人的隐私数据就很可能泄露,系统也处于危险之中,那么要如何只是系统是否被入侵呢?定期的检查是很有必要的,下面图老师小编就给大家介绍下如何检查Linux是否被入侵。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

 Linux系统被入侵该如何检测?

1. 检查帐户

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# less /etc/passwd《/p》 《p》# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)《/p》 《p》# ls -l /etc/passwd(查看文件修改日期)《/p》 《p》# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)《/p》 《p》# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)

2. 检查日志

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# last

(查看正常情况下登录到本机的所有用户的历史记录)

注意entered promiscuous mode

注意错误信息

注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (》 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3. 检查进程

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# ps -aux(注意UID是0的)《/p》 《p》# lsof -p pid(察看该进程所打开端口和文件)《/p》 《p》# cat /etc/inetd.conf | grep -v ^#(检查守护进程)《/p》 《p》检查隐藏进程《/p》 《p》# ps -ef|awk ‘{print }’|sort -n|uniq 》1《/p》 《p》# ls /porc |sort -n|uniq 》2《/p》 《p》# diff 1 2

4. 检查文件

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# find / -uid 0 –perm -4000 –print《/p》 《p》# find / -size +10000k –print《/p》 《p》# find / -name –print《/p》 《p》# find / -name 。。 –print《/p》 《p》# find / -name 。 –print《/p》 《p》# find / -name –print《/p》 《p》注意SUID文件,可疑大于10M和空格文件

# find / -name core -exec ls -l {}

(检查系统中的core文件)《/p》 《p》检查系统文件完整性《/p》 《p》# rpm –qf /bin/ls《/p》 《p》# rpm -qf /bin/login《/p》 《p》# md5sum –b 文件名《/p》 《p》# md5sum –t 文件名

5. 检查RPM

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# rpm –Va

输出格式:《/p》 《p》S – File size differs《/p》 《p》M – Mode differs (permissions)《/p》 《p》5 – MD5 sum differs《/p》 《p》D – Device number mismatch《/p》 《p》L – readLink path mismatch《/p》 《p》U – user ownership differs《/p》 《p》G – group ownership differs《/p》 《p》T – modification time differs《/p》 《p》注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin

6. 检查网络

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)《/p》 《p》# lsof –i《/p》 《p》# netstat –nap(察看不正常打开的TCP/UDP端口)《/p》 《p》# arp –a

7. 检查计划任务

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

注意root和UID是0的schedule《/p》 《p》# crontab –u root –l《/p》 《p》# cat /etc/crontab《/p》 《p》# ls /etc/cron.*

8. 检查后门

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# cat /etc/crontab《/p》 《p》# ls /var/spool/cron/《/p》 《p》# cat /etc/rc.d/rc.local《/p》 《p》# ls /etc/rc.d《/p》 《p》# ls /etc/rc3.d《/p》 《p》# find / -type f -perm 4000

9. 检查内核模块

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# lsmod

10. 检查系统服务

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# chkconfig《/p》 《p》# rpcinfo -p(查看RPC服务)

11. 检查rootkit

代码如下:

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

# rkhunter -c《/p》 《p》# chkrootkit -q

上面就是检查Linux系统是否被入侵的方法介绍了,如果你觉得你的电脑不够安全,又或者有信息被盗用的情况,那么不妨使用本文的方法检查下吧。

展开更多 50%)
分享

猜你喜欢

Linux系统被入侵该如何检测?

电脑入门
Linux系统被入侵该如何检测?

linux 9系统下构建小型入侵检测系统

Linux Linux命令 Linux安装 Linux编程 Linux桌面 Linux软件 Linux内核 Linux管理
linux 9系统下构建小型入侵检测系统

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

局域网中构建入侵检测系统

电脑网络
局域网中构建入侵检测系统

了解Linux系统内核安全的入侵侦察系统

Linux Linux命令 Linux安装 Linux编程 Linux桌面 Linux软件 Linux内核 Linux管理
了解Linux系统内核安全的入侵侦察系统

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

系统入侵

Linux Linux命令 Linux安装 Linux编程 Linux桌面 Linux软件 Linux内核 Linux管理
系统入侵

Linux服务器被rootkit攻击后该如何处理?

电脑入门
Linux服务器被rootkit攻击后该如何处理?

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

SQL Server 6.5 配置使用要点

SQL Server 6.5 配置使用要点

如何处理Linux中vsftpd 530 login incorrect报错

如何处理Linux中vsftpd 530 login incorrect报错
下拉加载更多内容 ↓