0°

Linux服务器如何发现被黑

Linux这样检查是否被黑
1、检查history查看之前操作过什么,是否有异常。
2、检查last查看之前操作过什么,是否有异常。
3、检查top、ps中进程是否异常,是否有病毒或者后门程序。
4、检查网站是否挂马或者页面文件被替换。
5、检查/etc/password 是否有非法帐号,并将怀疑有问题的帐号与正常服务器进行对比。
6、检查/etc/shadow 文件是否有帐户已经被设置密码。
7、检查系统服务器启动项。
8、使用chkrootkit 查看了入侵情况。
9、检查rpm变更情况。
关于rpm包的检测。使用了一个脚本进行检查,看看是否有被人换过包。

1
2
3
4
5
6
7
8
9
10
11
———————————————
#!/bin/bash
#
# Run through rpm database and report inconsistencies
#
for rpmlist in `rpm -qa`
# These quotes are back quotes
do
echo —– $rpmlist —– ; rpm -V $rpmlist
done > /tmp/rpmverify.out
———————————————

检查系统密码文件,查看文件修改日期
[root@fedora ~]# ls -l /etc/passwd

查看passwd文件中有哪些特权用户
[root@fedora ~]# awk -F: ‘$3= =0 {print $1}’ /etc/passwd

查看系统里有没有空口令帐户
awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow

检查系统守护进程
cat /etc/inetd.conf | grep -v “^#”

检查网络连接和监听端口

netstat -an
netstat -rn
ifconfig -a

查看正常情况下登录到本机的所有用户的历史记录
last

检查系统中的core文件
find / -name core -exec ls -l {} \;

检查系统文件完整性
rpm –qf /bin/ls
rpm -qf /bin/login
md5sum –b 文件名
md5sum –t 文件名

查找是否有后门

cat /etc/crontab
ls /var/spool/cron/
cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d
find / -type f -perm 4000

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!