Linux入侵检查流程

1. 初步信息收集

1.1 系统信息
  • 目的:了解当前系统的基本情况,包括操作系统版本、内核版本等。

  • 命令

    查看操作系统发行版信息

    cat /etc/os-release

    查看内核版本

    uname -r

1.2 网络信息
  • 目的:查看网络连接状态、开放端口以及防火墙规则,排查异常网络活动。

  • 命令

    查看当前网络连接

    netstat -tulnp

    查看防火墙规则(以 iptables 为例)

    iptables -L -n -v

2. 用户和权限检查

2.1 用户账户检查
  • 目的:检查系统中是否存在异常新增用户,以及用户权限是否合理。

  • 命令

    查看所有用户账户

    cat /etc/passwd

    查看近期新创建的用户(根据修改时间)

    find /etc -name "passwd" -mtime -7

2.2 异常权限检查
  • 目的:检查文件和目录的权限是否被异常修改。

  • 命令

    检查系统关键目录(如 /etc、/bin 等)的权限

    find /etc /bin -perm -4000 # 查找具有 SUID 权限的文件

3. 进程和服务检查

3.1 进程检查
  • 目的:查看当前运行的进程,排查异常进程。

  • 命令

    查看所有进程

    ps -ef

    查看占用 CPU 或内存较高的进程

    top -b -n 1 | head -n 20

3.2 服务检查
  • 目的:检查系统服务的运行状态,是否存在异常启动的服务。

  • 命令

    查看系统服务状态(以 systemd 为例)

    systemctl list -units --type = service

4. 文件系统检查

4.1 异常文件检查
  • 目的:查找近期修改的文件、隐藏文件等,可能存在异常脚本或后门。

  • 命令

    查找最近 7 天内修改的文件

    find / -type f -mtime -7

    查找隐藏文件

    find / -name ".*"

4.2 恶意文件特征检查
  • 目的:使用杀毒软件或工具检查文件是否存在恶意特征。

  • 命令

    安装并使用 ClamAV 进行病毒扫描

    yum install clamav -y # CentOS 系统
    apt - get install clamav -y # Ubuntu 系统
    freshclam # 更新病毒库
    clamscan -r / # 递归扫描根目录

5. 日志文件分析

5.1 系统日志
  • 目的:查看系统日志,查找异常登录、系统调用等信息。

  • 命令

    查看系统日志

    cat /var/log/messages

    查看登录日志

    cat /var/log/secure

5.2 审计日志
  • 目的:如果系统开启了审计服务,查看审计日志以获取更详细的系统活动信息。

  • 命令

    查看审计日志

    ausearch -m all

6. 定时任务检查

6.1 系统定时任务
  • 目的:检查系统的定时任务配置,是否存在异常任务。

  • 命令

    查看系统级定时任务

    cat /etc/crontab

    查看用户级定时任务

    crontab -l -u <username>

7. 网络流量分析

7.1 网络流量监控
  • 目的:使用工具监控网络流量,查看是否存在异常流量。

  • 命令

    安装并使用 iftop 监控网络流量

    yum install iftop -y # CentOS 系统
    apt - get install iftop -y # Ubuntu 系统
    iftop

8. 数据库检查(如果适用)

8.1 数据库连接和数据检查
  • 目的:检查数据库的连接情况和数据是否被篡改。

  • 命令

    以 MySQL 为例,登录数据库

    mysql -u <username> -p

    查看数据库列表

    SHOW DATABASES;

9. 修复和防范措施

9.1 清除恶意文件和进程
  • 目的:删除发现的恶意文件,终止异常进程。

  • 命令

    删除恶意文件

    rm -f <filename>

    终止异常进程

    kill -9 <pid>

9.2 加强系统安全
  • 目的:更新系统补丁、修改弱密码、加强防火墙规则等。

  • 命令

    更新系统软件包

    yum update -y # CentOS 系统
    apt - get update && apt - get upgrade -y # Ubuntu 系统

相关推荐
2401_826097622 小时前
JavaEE-Linux环境部署
java·linux·java-ee
(:满天星:)4 小时前
第31篇:块设备与字符设备管理深度解析(基于OpenEuler 24.03)
linux·运维·服务器·网络·centos
小陶来咯4 小时前
【仿muduo库实现并发服务器】Acceptor模块
运维·服务器
爱莉希雅&&&4 小时前
shell编程之awk命令详解
linux·服务器·git
笑稀了的野生俊4 小时前
在服务器中下载 HuggingFace 模型:终极指南
linux·服务器·python·bash·gpu算力
渡我白衣4 小时前
Linux操作系统之文件(四):文件系统(上)
linux
ZZH1120KQ4 小时前
Linux系统安全及应用
linux·运维·系统安全
程序漫游人5 小时前
centos8.5安装jdk21详细安装教程
java·linux
小扎仙森5 小时前
关于服务器宝塔转移wordperss子比主题问题
运维·服务器
小小小糖果人5 小时前
Linux云计算基础篇(5)
linux·运维·服务器