请选择 进入手机版 | 继续访问电脑版
查看: 390|回复: 0

Linux服务器入侵排除

[复制链接]
  • TA的每日心情
    开心
    2017-9-27 17:56
  • 签到天数: 69 天

    [LV.6]常住居民II

    发表于 2017-9-26 18:21:54 | 显示全部楼层 |阅读模式
    本帖最后由 以谁为师 于 2017-9-26 18:26 编辑

    1. 检查帐户展开目录

    awk -F: '$3==0 {print $1}' /etc/passwd
    #查看是否存在特权用户
    awk -F: 'length($2)==0 {print $1}' /etc/shadow
    #查看是否存在空口令帐户
    awk -F\: '{system("passwd -S "$1)}' /etc/passwd|awk '{print $1,$3}'
    #查看账户创建日期
    2. 检查日志展开目录

    last |head -20  #查看登录信息
    grep Failed /var/log/secure |egrep -o '[0-9]{1,3}(\.[0-9]{1,3}){3}' |sort |uniq -c|sort -nr |head -10
    3. 检查进程展开目录

    ps -aux  #注意UID是0的
    lsof -p pid  #察看该进程所打开端口和文件
    #cat /etc/inetd.conf | grep -v “^#”(检查守护进程)
    检查隐藏进程
    ps -ef|awk '{print }'  |sort -n|uniq >1
    ls /proc |sort -n |uniq >2
    diff 1 2
    4. 检查文件展开目录

    find / -uid 0 -perm -4000 -print
    find / -size +10000k -print|  xargs  du -sh|sort -nr #10M以上的文件
    find / -name “…” -print
    find / -name “.. ” -print
    find / -name “. ” -print
    find / -name ” ” -print
    注意SUID文件,可疑大于10M和空格文件
    find / -name core -exec ls -l {} ;(检查系统中的core文件)
    检查系统文件完整性展开目录

    rpm -qf /bin/ls
    rpm -qf /bin/login
    md5sum -b 文件名
    md5sum -t 文件名

    5. 检查 RPM展开目录
    游客,如果您要查看本帖隐藏内容请回复
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表