Linux入侵检查流程

1. 初步信息收集

1.1 系统信息
  • 目的:了解当前系统的基本情况,包括操作系统版本、内核版本等。

  • 命令

    查看操作系统发行版信息

    cat /etc/os-release

    查看内核版本

    uname -r

1.2 网络信息
  • 目的:查看网络连接状态、开放端口以及防火墙规则,排查异常网络活动。

  • 命令

    查看当前网络连接

    netstat -tulnp

    查看防火墙规则(以 iptables 为例)

    iptables -L -n -v

2. 用户和权限检查

2.1 用户账户检查
  • 目的:检查系统中是否存在异常新增用户,以及用户权限是否合理。

  • 命令

    查看所有用户账户

    cat /etc/passwd

    查看近期新创建的用户(根据修改时间)

    find /etc -name "passwd" -mtime -7

2.2 异常权限检查
  • 目的:检查文件和目录的权限是否被异常修改。

  • 命令

    检查系统关键目录(如 /etc、/bin 等)的权限

    find /etc /bin -perm -4000 # 查找具有 SUID 权限的文件

3. 进程和服务检查

3.1 进程检查
  • 目的:查看当前运行的进程,排查异常进程。

  • 命令

    查看所有进程

    ps -ef

    查看占用 CPU 或内存较高的进程

    top -b -n 1 | head -n 20

3.2 服务检查
  • 目的:检查系统服务的运行状态,是否存在异常启动的服务。

  • 命令

    查看系统服务状态(以 systemd 为例)

    systemctl list -units --type = service

4. 文件系统检查

4.1 异常文件检查
  • 目的:查找近期修改的文件、隐藏文件等,可能存在异常脚本或后门。

  • 命令

    查找最近 7 天内修改的文件

    find / -type f -mtime -7

    查找隐藏文件

    find / -name ".*"

4.2 恶意文件特征检查
  • 目的:使用杀毒软件或工具检查文件是否存在恶意特征。

  • 命令

    安装并使用 ClamAV 进行病毒扫描

    yum install clamav -y # CentOS 系统
    apt - get install clamav -y # Ubuntu 系统
    freshclam # 更新病毒库
    clamscan -r / # 递归扫描根目录

5. 日志文件分析

5.1 系统日志
  • 目的:查看系统日志,查找异常登录、系统调用等信息。

  • 命令

    查看系统日志

    cat /var/log/messages

    查看登录日志

    cat /var/log/secure

5.2 审计日志
  • 目的:如果系统开启了审计服务,查看审计日志以获取更详细的系统活动信息。

  • 命令

    查看审计日志

    ausearch -m all

6. 定时任务检查

6.1 系统定时任务
  • 目的:检查系统的定时任务配置,是否存在异常任务。

  • 命令

    查看系统级定时任务

    cat /etc/crontab

    查看用户级定时任务

    crontab -l -u <username>

7. 网络流量分析

7.1 网络流量监控
  • 目的:使用工具监控网络流量,查看是否存在异常流量。

  • 命令

    安装并使用 iftop 监控网络流量

    yum install iftop -y # CentOS 系统
    apt - get install iftop -y # Ubuntu 系统
    iftop

8. 数据库检查(如果适用)

8.1 数据库连接和数据检查
  • 目的:检查数据库的连接情况和数据是否被篡改。

  • 命令

    以 MySQL 为例,登录数据库

    mysql -u <username> -p

    查看数据库列表

    SHOW DATABASES;

9. 修复和防范措施

9.1 清除恶意文件和进程
  • 目的:删除发现的恶意文件,终止异常进程。

  • 命令

    删除恶意文件

    rm -f <filename>

    终止异常进程

    kill -9 <pid>

9.2 加强系统安全
  • 目的:更新系统补丁、修改弱密码、加强防火墙规则等。

  • 命令

    更新系统软件包

    yum update -y # CentOS 系统
    apt - get update && apt - get upgrade -y # Ubuntu 系统

相关推荐
IC 见路不走44 分钟前
LeetCode 第91题:解码方法
linux·运维·服务器
翻滚吧键盘1 小时前
查看linux中steam游戏的兼容性
linux·运维·游戏
小能喵1 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
汀沿河1 小时前
8.1 prefix Tunning与Prompt Tunning模型微调方法
linux·运维·服务器·人工智能
zly35001 小时前
centos7 ping127.0.0.1不通
linux·运维·服务器
小哥山水之间2 小时前
基于dropbear实现嵌入式系统ssh服务端与客户端完整交互
linux
用户Taobaoapi20142 小时前
Taobao agent USA丨美国淘宝代购1688代采集运系统搭建指南
数据挖掘·php
蓝色记忆2 小时前
Classmap 如何兼容旧代码
php
power 雀儿2 小时前
集群聊天服务器---MySQL数据库的建立
服务器·数据库·mysql
ldj20202 小时前
2025 Centos 安装PostgreSQL
linux·postgresql·centos