排查Linux机器是否已被入侵
2024-10-06 15:43:25
来自--马哥Linux运维
1.入侵者可能会删除机器的日志信息 ,可以查看日志信息是否存在后者被清除
[root@zklf-server02 ~]# ll -h /var/log/
total 3.4M
drwxr-xr-x. root root Nov : anaconda
drwx------. root root Feb : audit
-rw-------. root utmp Feb : btmp
-rw-------. root utmp Jan : btmp-
drwxr-xr-x. chrony chrony Apr chrony
-rw-------. root root 56K Feb : cron [root@zklf-server02 ~]# du -sh /var/log/*
2.2M /var/log/anaconda
29M /var/log/audit
0 /var/log/btmp
0 /var/log/btmp-20190201
0 /var/log/chrony
56K /var/log/cron
2.入侵者可能创建一个新的文件存放用户名和密码
[root@zklf-server02 ~]# ll /etc/pass*
-rw-r--r--. root root Dec : /etc/passwd
-rw-r--r--. root root Dec : /etc/passwd-
3.可能会修改用户名和密码
[root@zklf-server02 ~]# tail - /etc/passwd
smmsp:x::::/var/spool/mqueue:/sbin/nologin
samba:x::::/home/samba:/sbin/nologin
mysql:x::::/home/mysql:/sbin/nologin
tss:x:::Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
memcached:x:::Memcached daemon:/run/memcached:/sbin/nologin [root@zklf-server02 ~]# tail - /etc/shadow
smmsp:!!:::::::
samba:!!:::::::
mysql:!!:::::::
tss:!!:::::::
memcached:!!:::::::
4.查看机器最近成功登陆事件和最后一次登陆不成功的事件
[root@zklf-server02 ~]# lastlog
Username Port From Latest
root pts/ Mon Feb :: +
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
5.查看机器当前登陆的全部用户,对应的日志文件 /var/run/utmp
[root@zklf-server02 ~]# who
zklf pts/ -- : (192.168.10.208)
6.查看机器创建以来登陆过的用户,对应的日志文件 "/var/log/wtmp"
zklf pts/ 192.168.10.208 Mon Feb : still logged in
zklf pts/ 192.168.10.208 Wed Feb : - : (:)
zklf pts/ 192.168.10.208 Thu Jan : - : (:)
zklf pts/ 192.168.10.208 Tue Jan : - : (+:)
zklf pts/ 192.168.10.208 Thu Jan : - : (:)
7.查看机器所有用户的连接事件(小时),对应的日志文件 “/var/log/wtmp”
ac -dp
8.如果发现机器产生了异常流量,可以使用tcpdump抓取网络包,使用nethogs可查看实时流量
9.可以查看/var/log/secure 日志文件,尝试发现入侵者的信息
[root@zklf-server02 ~]# cat /var/log/secure |grep -i 'accepted password'
Feb :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port ssh2
Feb :: zklf-server02 sshd[]: Accepted password for zklf from 192.168.10.208 port ssh2
10.查询异常进程所对应的执行脚本文件
a.top命令查看异常进程对应的PID
root R 0.3 0.0 :00.11 top
b.在虚拟文件系统目录寻找对应的可执行文件
[root@zklf-server02 ~]# ll /proc// |grep -i exe
lrwxrwxrwx. zklf zklf Feb : exe -> /usr/bin/top
最新文章
- [连载]《C#通讯(串口和网络)框架的设计与实现》- 6.通讯控制器的设计
- PHP 文件的操作
- 如何让WEBAPI 能够进行跨越访问
- java规范(二)
- BZOJ3723 : PA2014Final Gra w podwajanie
- java 自带md5加密
- BackgroundWorker的使用方法
- USACO Section 3.2: Feed Ratios
- iOS开发——Metal教程
- 如何解决MySQLAdministrator 启动报错
- Logcat中报内存泄漏MemoryLeak的一次分析
- nbtstat 查询IP地址对应的计算机名称
- dva
- uc/osⅡ/Ⅲ
- shiro源码篇 - 疑问解答与系列总结,你值得拥有
- 转sql server新增、修改字段语句(整理)
- curl命令行
- BZOJ2144跳跳棋——LCA+二分
- WdatePicker控件中日期的范围选择
- bzoj 1150