linux查看是否被入侵(二)

1、检查异常系统文件

root@bastion-IDC \~\]# find / -uid 0 -perm -4000 -print \[root@bastion-IDC \~\]# find / -size +10000k --print \[root@bastion-IDC \~\]# find / -name "..." --print \[root@bastion-IDC \~\]# find / -name ".." --print \[root@bastion-IDC \~\]# find / -name "." --print \[root@bastion-IDC \~\]# find / -name " " --print ****2、检查系统文件完整性**** \[root@bastion-IDC \~\]# rpm --qf /bin/ls \[root@bastion-IDC \~\]# rpm -qf /bin/login \[root@bastion-IDC \~\]# md5sum --b 文件名 \[root@bastion-IDC \~\]# md5sum --t 文件名 ****3、检查RPM的完整性**** \[root@bastion-IDC \~\]# rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin 输出格式说明: 1. S -- File size differs 2. M -- Mode differs (permissions) 3. 5 -- MD5 sum differs 4. D -- Device number mismatch 5. L -- readLink path mismatch 6. U -- user ownership differs 7. G -- group ownership differs 8. T -- modification time differs ****4、检查网络**** ****4.1检查端口及ip绑定**** \[root@bastion-IDC \~\]# ip link \| grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer) \[root@bastion-IDC \~\]# lsof -i #查看tcp和udp连接信息,lsof -i tcp或lsof -i udp \[root@bastion-IDC \~\]# netstat -nap(察看不正常打开的TCP/UDP端口) \[root@bastion-IDC \~\]# arp -a ****4.2 检查宽带**** \[root@bastion-IDC \~\]# nethogs 检查进程使用的带宽流量(yum -y install nethogs安装) \[root@bastion-IDC \~\]# iftop -n 检查每个连接使用的带宽(yum -y install iftop安装) \[root@bastion-IDC \~\]# bwm-ng 检查系统网络接口数据传输速度(yum -y install bwm-ng安装) ****5、查看**** ****/usr/bin/ 中最近变动的文件**** ls -lt /usr/bin/ \| head 或者用 \`ls -lrt /usr/bin/\` 查看按时间倒序查 ****7、检查系统计划任务**** \[root@bastion-IDC \~\]# crontab -u root -l \[root@bastion-IDC \~\]# cat /etc/crontab \[root@bastion-IDC \~\]# ls /etc/cron.\* ****8、检查系统后门**** \[root@bastion-IDC \~\]# cat /etc/crontab \[root@bastion-IDC \~\]# ls /var/spool/cron/ \[root@bastion-IDC \~\]# cat /etc/rc.d/rc.local \[root@bastion-IDC \~\]# ls /etc/rc.d \[root@bastion-IDC \~\]# ls /etc/rc3.d ****9、检查系统服务**** \[root@bastion-IDC \~\]# chkconfig --list \| grep :on \[root@bastion-IDC \~\]# rpcinfo -p(显示本地系统中注册到rpcbind协议版本2的所有RPC服务,yum -y install rpcbind安装) ****11、检查**** ****系统是否感**** ****rootkit**** ****R**** ****ootkit**** ****:****是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。 rootkit主要有两种类型:文件级别和内核级别。 11.1 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。 11.2 内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范为主。 12、使用rkhunter检测 \[root@bastion-IDC \~\]# rkhunter -c 每项检测结果都高亮显示,绿色表示正常,红色表示需要引起关注,上面的检测需要与用户交互输入"回车",可以使用--sk选项使其自动检测: \[root@bastion-IDC \~\]# rkhunter --check --skip-keypress 13、使用chrootit检测 \[root@bastion-IDC \~\]# chkrootkit -q\| grep INFECTED #出现INFECTED就说明系统可能有问题了

相关推荐
LH_R1 天前
OneTerm开源堡垒机实战(四):访问授权与安全管控
运维·后端·安全
用户31187945592181 天前
Kylin Linux 10 安装 glib2-devel-2.62.5-7.ky10.x86_64.rpm 方法(附安装包)
linux
Raymond运维1 天前
MariaDB源码编译安装(二)
运维·数据库·mariadb
涛啊涛1 天前
Centos7非LVM根分区容量不足后扩容,对调硬盘挂载/
linux·磁盘管理
JuiceFS2 天前
从 MLPerf Storage v2.0 看 AI 训练中的存储性能与扩展能力
运维·后端
CYRUS_STUDIO2 天前
用 Frida 控制 Android 线程:kill 命令、挂起与恢复全解析
android·linux·逆向
熊猫李2 天前
rootfs-根文件系统详解
linux
chen9452 天前
mysql 3节点mgr集群部署
运维·后端
LH_R2 天前
OneTerm开源堡垒机实战(三):功能扩展与效率提升
运维·后端·安全
dessler2 天前
Hadoop HDFS-高可用集群部署
linux·运维·hdfs