檢查系統的異常檔案

檢視敏感目錄，如/tmp目錄下的檔案，同時注意隱藏資料夾，以.為名的資料夾具有隱藏屬性

> ls -al

查詢1天以內被訪問過的檔案

> find /opt -iname "*" -atime 1 -type f

-iname不區分大小寫,-atime最近一次被訪問的時間,-type檔案型別

檢查歷史命令

檢視被入侵後,在系統上執行過哪些命令,使用root使用者登入系統，檢查/home目錄下的使用者主目錄的.bash_history檔案

預設情況下，系統可以儲存1000條的歷史命令，並不記錄命令執行的時間，根據需要進行安全加固。

設定儲存1萬條命令

> sed -i 's/HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

history加固

> vim /etc/profile 
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP"=="" ]
then
   USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami`"
#為防止會話退出時覆蓋其他會話寫到HISTFILE的內容
shopt -s histappend
export PROMPT_COMMAND="history -a"
//配置生效
> source /etc/profile

PROMPT_COMMAND是什麼

PS1-PS4介紹了一些用於提示資訊控制的環境變數，而在此之前可以進行回撥的一個環境變數就是PROMPT_COMMAND，這個環境變數中設定的內容將在互動式指令碼的提示(PS1)出現之前被執行。

檢查系統日誌

在Linux上一般跟系統相關的日誌預設都會放到/var/log下面，若是一旦出現問題，使用者就可以透過檢視日誌來迅速定位，及時解決問題。常用日誌檔案如下：

/var/log/btmp

記錄錯誤登入日誌,這個檔案是二進位制檔案,不能用vi直接檢視,可以用lastb看

/var/log/lastlog

記錄系統中所有使用者最後一次成功登入系統的時間,這是一個二進位制檔案,不能用vi檢視,可以用lastlog檢視

/var/log/wtmp

永久記錄所有使用者的登入、登出資訊，同時記錄系統的啟動、重啟、關機事件。同樣這個檔案也是一個二進位制檔案，不能直接vi，而需要使用last命令來檢視。

/var/log/utmp

記錄當前已經登入的使用者資訊，這個檔案會隨著使用者的登入和登出不斷變化，只記錄當前登入使用者的資訊。同樣這個檔案不能直接vi，而要使用w,who,users等命令來查詢。

/var/log/secure

記錄驗證和授權方面的資訊，只要涉及賬號和密碼的程式都會記錄，比如SSH登入，su切換使用者，sudo授權，甚至新增使用者和修改使用者密碼都會記錄在這個日誌檔案中

查詢登入系統失敗的20個賬號

> lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20

定位有多少IP在爆-破主機的root帳號

> grep "Failed password for root" /var/log/secure | sort | uniq -c | sort -nr | more

檢視所有重啟日誌資訊

> last reboot

檢視系統正常的執行時間

> uptime -s

檢視哪些IP在爆-破

> grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

檢視哪些IP登入成功了

> grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登入成功的日期,使用者名稱,IP

> gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}

Linux中如何檢測系統是否被入侵

相關文章