-
Linux系统被入侵该如何检测?
- 时间:2024-05-19 16:24:23
大家好,今天Win10系统之家小编给大家分享「Linux系统被入侵该如何检测?」的知识,如果能碰巧解决你现在面临的问题,记得收藏本站或分享给你的好友们哟~,现在开始吧!
Linux系统如果被入侵了,那么个人的隐私数据就很可能泄露,系统也处于危险之中,那么要如何只是系统是否被入侵呢?定期的检查是很有必要的,下面小编就给大家介绍下如何检查Linux是否被入侵。
1. 检查帐户
代码如下:
# less /etc/passwd《/p》 《p》# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)《/p》 《p》# ls -l /etc/passwd(查看文件修改日期)《/p》 《p》# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)《/p》 《p》# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)
2. 检查日志
代码如下:
# last
(查看正常情况下登录到本机的所有用户的历史记录)
注意”entered promiscuous mode”
注意错误信息
注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (》 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
3. 检查进程
代码如下:
# ps -aux(注意UID是0的)《/p》 《p》# lsof -p pid(察看该进程所打开端口和文件)《/p》 《p》# cat /etc/inetd.conf | grep -v “^#”(检查守护进程)《/p》 《p》检查隐藏进程《/p》 《p》# ps -ef|awk ‘{print }’|sort -n|uniq 》1《/p》 《p》# ls /porc |sort -n|uniq 》2《/p》 《p》# diff 1 2
4. 检查文件
代码如下:
# find / -uid 0 –perm -4000 –print《/p》 《p》# find / -size +10000k –print《/p》 《p》# find / -name “…” –print《/p》 《p》# find / -name “。。 ” –print《/p》 《p》# find / -name “。 ” –print《/p》 《p》# find / -name ” ” –print《/p》 《p》注意SUID文件,可疑大于10M和空格文件
# find / -name core -exec ls -l {} \
(检查系统中的core文件)《/p》 《p》检查系统文件完整性《/p》 《p》# rpm –qf /bin/ls《/p》 《p》# rpm -qf /bin/login《/p》 《p》# md5sum –b 文件名《/p》 《p》# md5sum –t 文件名
5. 检查RPM
代码如下:
# rpm –Va
输出格式:《/p》 《p》S – File size differs《/p》 《p》M – Mode differs (permissions)《/p》 《p》5 – MD5 sum differs《/p》 《p》D – Device number mismatch《/p》 《p》L – readLink path mismatch《/p》 《p》U – user ownership differs《/p》 《p》G – group ownership differs《/p》 《p》T – modification time differs《/p》 《p》注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin
6. 检查网络
代码如下:
# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)《/p》 《p》# lsof –i《/p》 《p》# netstat –nap(察看不正常打开的TCP/UDP端口)《/p》 《p》# arp –a
7. 检查计划任务
代码如下:
注意root和UID是0的schedule《/p》 《p》# crontab –u root –l《/p》 《p》# cat /etc/crontab《/p》 《p》# ls /etc/cron.*
8. 检查后门
代码如下:
# cat /etc/crontab《/p》 《p》# ls /var/spool/cron/《/p》 《p》# cat /etc/rc.d/rc.local《/p》 《p》# ls /etc/rc.d《/p》 《p》# ls /etc/rc3.d《/p》 《p》# find / -type f -perm 4000
9. 检查内核模块
代码如下:
# lsmod
10. 检查系统服务
代码如下:
# chkconfig《/p》 《p》# rpcinfo -p(查看RPC服务)
11. 检查rootkit
代码如下:
# rkhunter -c《/p》 《p》# chkrootkit -q
上面就是检查Linux系统是否被入侵的方法介绍了,如果你觉得你的电脑不够安全,又或者有信息被盗用的情况,那么不妨使用本文的方法检查下吧。
以上就是关于「Linux系统被入侵该如何检测?」的全部内容,本文讲解到这里啦,希望对大家有所帮助。如果你还想了解更多这方面的信息,记得收藏关注本站~
【Win10系统之家②文章,转载请联系!】
相关文章
-
Linux系统如果被入侵了,那么个人的隐私数据就很可能泄露,系统也处于危险之中,那么要如何只是系统是否被入侵呢?定期的检查是很有必要的,下面小编就给大家介绍下如何检查Linux是否被入侵。
1.检查帐户
代码如下:
#less/etc/passwd《/p》《p》#grep:0:/etc/passwd(检查是否产生了新用户,和UID、GID是0的用户... -
作为一个Linux系统管理员,或者刚刚入门的初学者们,sudo命令是必须要知道的,那么sudo命令是什么命令呢?又有什么作用,随小编一起来了解下吧。
sudo是个统管一切的命令。它的字面意思是代表“超级用户才能做!”(superuserdo!)对Linux系统管理员或高级用户而言,它是必不可少的最重要的命令之一。你可曾有过这样的经历:在终端中试着运行某个命令,结果却遇到“... -
随着网络流量的增加,服务器开始面临繁重负载,这时就需要搭配一套HTTP负载均衡系统了,那么Linux下该如何配置HTTP负载均衡系统呢?随小编一起来学习一下吧。
如今对基于互联网的应用和服务的要求越来越大,这给广大的IT管理员施加了越来越大的压力。面对突如其来的流量猛增、自生的流量增加或者是内部挑战(比如硬件故障和紧急维护),不管怎样,你的互联网应用都必须保持随时可用。连... -
在进行Linux系统操作的时候,如果出现更换硬件、更改系统配置及死机等情况时,就需要对电脑进行重启,而不同的情形重启的方式也不同,即使用的命令不同,下面小编就给大家介绍下Linux下不同情形的重启方法。
不同于桌面系统,作为服务器,我们较少对Linux系统进行系统重启,但在以下情形出现时,我们会对机器进行重启:
更换硬件
更改系统配置
...
