来自--马哥Linux运维

1.入侵者可能会删除机器的日志信息 ,可以查看日志信息是否存在后者被清除

[root@zklf-server02 ~]# ll -h /var/log/

total 3.4M

drwxr-xr-x.  root   root     Nov  : anaconda

drwx------.  root   root      Feb  : audit

-rw-------.  root   utmp       Feb   : btmp

-rw-------.  root   utmp       Jan   : btmp-

drwxr-xr-x.  chrony chrony     Apr    chrony

-rw-------.  root   root    56K Feb  : cron

[root@zklf-server02 ~]# du -sh /var/log/*

2.2M    /var/log/anaconda

29M    /var/log/audit

0    /var/log/btmp

0    /var/log/btmp-20190201

0    /var/log/chrony

56K    /var/log/cron

2.入侵者可能创建一个新的文件存放用户名和密码

[root@zklf-server02 ~]# ll /etc/pass*

-rw-r--r--.  root root  Dec  : /etc/passwd

-rw-r--r--.  root root  Dec  : /etc/passwd-

3.可能会修改用户名和密码

[root@zklf-server02 ~]# tail - /etc/passwd

smmsp:x::::/var/spool/mqueue:/sbin/nologin

samba:x::::/home/samba:/sbin/nologin

mysql:x::::/home/mysql:/sbin/nologin

tss:x:::Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin

memcached:x:::Memcached daemon:/run/memcached:/sbin/nologin

[root@zklf-server02 ~]# tail - /etc/shadow

smmsp:!!:::::::

samba:!!:::::::

mysql:!!:::::::

tss:!!:::::::

memcached:!!:::::::

4.查看机器最近成功登陆事件和最后一次登陆不成功的事件

[root@zklf-server02 ~]# lastlog

Username         Port     From             Latest

root             pts/                     Mon Feb  :: +

bin                                        **Never logged in**

daemon                                     **Never logged in**

adm                                        **Never logged in**

lp                                         **Never logged in**

sync                                       **Never logged in**

shutdown                                   **Never logged in**

5.查看机器当前登陆的全部用户,对应的日志文件  /var/run/utmp

[root@zklf-server02 ~]# who

zklf     pts/        -- : (192.168.10.208)

6.查看机器创建以来登陆过的用户,对应的日志文件 "/var/log/wtmp"

zklf     pts/        192.168.10.208   Mon Feb  :   still logged in

zklf     pts/        192.168.10.208   Wed Feb  : - :  (:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

zklf     pts/        192.168.10.208   Tue Jan  : - : (+:)

zklf     pts/        192.168.10.208   Thu Jan  : - :  (:)

7.查看机器所有用户的连接事件(小时),对应的日志文件 “/var/log/wtmp”

ac -dp

8.如果发现机器产生了异常流量,可以使用tcpdump抓取网络包,使用nethogs可查看实时流量

9.可以查看/var/log/secure 日志文件,尝试发现入侵者的信息

[root@zklf-server02 ~]# cat /var/log/secure |grep -i 'accepted password'

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

Feb  :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port  ssh2

10.查询异常进程所对应的执行脚本文件

a.top命令查看异常进程对应的PID

 root                  R   0.3  0.0   :00.11 top

b.在虚拟文件系统目录寻找对应的可执行文件

[root@zklf-server02 ~]# ll /proc// |grep -i exe

lrwxrwxrwx.  zklf zklf  Feb  : exe -> /usr/bin/top

最新文章

  1. [连载]《C#通讯(串口和网络)框架的设计与实现》- 6.通讯控制器的设计
  2. PHP 文件的操作
  3. 如何让WEBAPI 能够进行跨越访问
  4. java规范(二)
  5. BZOJ3723 : PA2014Final Gra w podwajanie
  6. java 自带md5加密
  7. BackgroundWorker的使用方法
  8. USACO Section 3.2: Feed Ratios
  9. iOS开发——Metal教程
  10. 如何解决MySQLAdministrator 启动报错
  11. Logcat中报内存泄漏MemoryLeak的一次分析
  12. nbtstat 查询IP地址对应的计算机名称
  13. dva
  14. uc/osⅡ/Ⅲ
  15. shiro源码篇 - 疑问解答与系列总结,你值得拥有
  16. 转sql server新增、修改字段语句(整理)
  17. curl命令行
  18. BZOJ2144跳跳棋——LCA+二分
  19. WdatePicker控件中日期的范围选择
  20. bzoj 1150

热门文章

  1. 028_shell脚本递归求值
  2. $Django 模板层(变量、过滤器 、标签)、自定义(模板过滤器,标签)
  3. zabbix添加对centos系统cpu使用率百分比的监控
  4. 缓存系列之三:redis安装及基本数据类型命令使用
  5. Android App增量升级
  6. SpringBoot中常见注解含义总结
  7. MySql 使用规范推荐(转)
  8. ES6 必须要用的数组Filter() 方法,不要再自己循环遍历了!!!
  9. IPv4和IPv6简单对比介绍(转载)
  10. JAVA项目中常用的异常处理情况总结