linux 被入侵排查方法

排查方法

1:查看登陆账号信息 last -a ,是否陌生账号和IP信息

linux 被入侵排查方法 站长 第1张

who last -a

2:查看/etc/passwd 文件内容多个0权限ID和异常ID

linux 被入侵排查方法 站长 第2张

passwd -0 id

3:查看 cat /var/log/secure | more | grep "authentication failure" 失败信息和 last -a 信息对比

linux 被入侵排查方法 站长 第3张

secure

4: netstat -antp 是否不常用端口和进程ID/连接数

linux 被入侵排查方法 站长 第4张

netstat -antp

5: 查看/var/log/日志是否被清除,消失。

linux 被入侵排查方法 站长 第5张

6: 查找/根目录下最近修改文件 find / -mtime -1 -type f -exec ls -l {} ; 【执行命令/临时目录/等】

linux 被入侵排查方法 站长 第6张

find

7:查抓定时任务启动项应用程序配置文件(修改 md5变化)

linux 被入侵排查方法 站长 第7张

rc.local

linux 被入侵排查方法 站长 第8张

crontab -l

三:以上七种方法是基本排查思路,一般能找到蛛丝马迹。(平时多关注您服务器启动应用是否有漏洞,redis apache nginx 等)。有些被入侵在应用上面下手,一时那发现。---后续讲防止入侵方法,安全加固,攻击防患。建议linux 服务器最好开启防火墙,常用安全加固。

评论回复

  1. 回复 头条

    文章不错非常喜欢