问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

如何看Linux服务器是否被攻击?

发布网友 发布时间:2022-04-19 23:54

我来回答

1个回答

热心网友 时间:2023-06-01 15:51

linux系统的服务器被入侵,总结了以下的基本方法,供不大懂linux服务器网理人员参考考学习。\x0d\x0a首先先用iptraf查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门\x0d\x0a1. 检查帐户\x0d\x0a# less /etc/passwd\x0d\x0a# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)\x0d\x0a# ls -l /etc/passwd(查看文件修改日期)\x0d\x0a# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)\x0d\x0a# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)\x0d\x0a \x0d\x0a2. 检查日志\x0d\x0a# last(查看正常情况下登录到本机的所有用户的历史记录)\x0d\x0a注意”entered promiscuous mode”\x0d\x0a注意错误信息\x0d\x0a注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)\x0d\x0a \x0d\x0a3. 检查进程\x0d\x0a# ps -aux(注意UID是0的)\x0d\x0a# lsof -p pid(察看该进程所打开端口和文件)\x0d\x0a# cat /etc/inetd.conf | grep -v “^#”(检查守护进程)\x0d\x0a检查隐藏进程\x0d\x0a# ps -ef|awk ‘{print }’|sort -n|uniq >1\x0d\x0a# ls /porc |sort -n|uniq >2\x0d\x0a# diff 1 2\x0d\x0a \x0d\x0a4. 检查文件\x0d\x0a# find / -uid 0 _perm -4000 _print\x0d\x0a# find / -size +10000k _print\x0d\x0a# find / -name “?” _print\x0d\x0a# find / -name “.. ” _print\x0d\x0a# find / -name “. ” _print\x0d\x0a# find / -name ” ” _print\x0d\x0a注意SUID文件,可疑大于10M和空格文件\x0d\x0a# find / -name core -exec ls -l {} ;(检查系统中的core文件)\x0d\x0a检查系统文件完整性\x0d\x0a# rpm _qf /bin/ls\x0d\x0a# rpm -qf /bin/login\x0d\x0a# md5sum _b 文件名\x0d\x0a# md5sum _t 文件名\x0d\x0a \x0d\x0a5. 检查RPM\x0d\x0a# rpm _Va\x0d\x0a输出格式:\x0d\x0aS _ File size differs\x0d\x0aM _ Mode differs (permissions)\x0d\x0a5 _ MD5 sum differs\x0d\x0aD _ Device number mismatch\x0d\x0aL _ readLink path mismatch\x0d\x0aU _ user ownership differs\x0d\x0aG _ group ownership differs\x0d\x0aT _ modification time differs\x0d\x0a注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin\x0d\x0a \x0d\x0a6. 检查网络\x0d\x0a# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)\x0d\x0a# lsof _i\x0d\x0a# netstat _nap(察看不正常打开的TCP/UDP端口)\x0d\x0a# arp _a\x0d\x0a \x0d\x0a7. 检查计划任务\x0d\x0a注意root和UID是0的schele\x0d\x0a# crontab _u root _l\x0d\x0a# cat /etc/crontab\x0d\x0a# ls /etc/cron.*\x0d\x0a \x0d\x0a8. 检查后门\x0d\x0a# cat /etc/crontab\x0d\x0a# ls /var/spool/cron/\x0d\x0a# cat /etc/rc.d/rc.local\x0d\x0a# ls /etc/rc.d\x0d\x0a# ls /etc/rc3.d\x0d\x0a# find / -type f -perm 4000\x0d\x0a \x0d\x0a9. 检查内核模块\x0d\x0a# lsmod\x0d\x0a \x0d\x0a10. 检查系统服务\x0d\x0a# chkconfig\x0d\x0a# rpcinfo -p(查看RPC服务)\x0d\x0a \x0d\x0a11. 检查rootkit\x0d\x0a# rkhunter -c\x0d\x0a# chkrootkit -q
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
说课包括哪些方面 说课内容包括()。 如何在手机百度上删除对话记录? 结核病是什么样的疾病? 曹丕17岁得了肺痨,明知自己命不长久,还要强争王位,是不是很自私呢?_百... 古代小说常出现的病名 急求一篇"生活小窍门"(500字)的作文 至今最有什么小妙招 健康的戒烟方法 笔记本电池锁死是什么原因引起的? 怎么查看服务器是否被攻击 如何看Linux服务器是否被攻击 如何查看服务器是否有攻击 Linux服务器是否被攻击怎么判断 如何查看服务器被攻击日志 怎么查看服务器被入侵? 如何查看服务器是否被ddos攻击? 怎么检查网站服务器是否被入侵? 怎么样查看我的服务器是否被攻击? 怎样查看服务器是否被攻击? 遭受黑客攻击后怎样查询被攻击了 鸭溪窖多彩2020年的是鼠年吗 听说赖茅生肖酒很不错,2020赖茅鼠年生肖酒出来了吗? 贵大鼠年2.5L多少能入 赖世家酒厂的赖氏父子酒怎么样 赖氏父子是不是真正的赖茅酒 赖茅鼠年生肖酒出来了吗,这酒怎么样,哪位了解的? 没多久就到鼠年了,各大名酒的生肖纪念酒也陆续开... 赖氏父子酒的性价比高不高? 市面上酱香酒普遍价格都高,赖氏父子酒价格那么低... 如何判断服务器是被攻击还是在攻击 怎么判断服务器是否被DDoS恶意攻击? 想知道如何查看服务器是否被ddos攻击? 如何查看linux服务器被攻击是否被攻击过 如何判断网站服务器是否被DDOS攻击 黑客武林 怎么在linux上查看服务器的存储空间多大 linux查看占用空间最大的文件夹 Linux系统中如何查看真实的可支持的最大文件打开数 linux服务器的挂载满了,如何查看里面每个文件夹大... 如何使用Linux命令行查看Linux服务器内存使用情况 linux下用ftp命令连接到ftp服务器应该如何查看服务... linux下磁盘占用达到100%了,怎样查找是哪些大文件... 苏宁互联 的电话卡,不想用了怎么销户? 二类医疗器械自查整改报告表怎么写 医疗器械自查报告怎么写? 医疗器械生产企业质量管理体系自查报告怎样填写 医疗器械公司质量管理情况自查自评报告怎么写 公司拟办医疗器械经营企业的自查报告 医疗器械生产企业质量管理体系年度自查报告 医疗器械不良反应自查报告
懂视IT 51dongshi.com 版权所有
Copyright © 2019-2024