Linux中如何檢測系統是否被入侵
檢查系統的異常檔案
檢視敏感目錄,如/tmp目錄下的檔案,同時注意隱藏資料夾,以.為名的資料夾具有隱藏屬性
> ls -al
查詢1天以內被訪問過的檔案
> find /opt -iname "*" -atime 1 -type f
-iname不區分大小寫,-atime最近一次被訪問的時間,-type檔案型別
檢查歷史命令
檢視被入侵後,在系統上執行過哪些命令,使用root使用者登入系統,檢查/home目錄下的使用者主目錄的.bash_history檔案
預設情況下,系統可以儲存1000條的歷史命令,並不記錄命令執行的時間,根據需要進行安全加固。
設定儲存1萬條命令
> sed -i 's/HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
history加固
> vim /etc/profile
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP"=="" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami`"
#為防止會話退出時覆蓋其他會話寫到HISTFILE的內容
shopt -s histappend
export PROMPT_COMMAND="history -a"
//配置生效
> source /etc/profile
PROMPT_COMMAND是什麼
PS1-PS4介紹了一些用於提示資訊控制的環境變數,而在此之前可以進行回撥的一個環境變數就是PROMPT_COMMAND,這個環境變數中設定的內容將在互動式指令碼的提示(PS1)出現之前被執行。
檢查系統日誌
在Linux上一般跟系統相關的日誌預設都會放到/var/log下面,若是一旦出現問題,使用者就可以透過檢視日誌來迅速定位,及時解決問題。常用日誌檔案如下:
/var/log/btmp
記錄錯誤登入日誌,這個檔案是二進位制檔案,不能用vi直接檢視,可以用lastb看
/var/log/lastlog
記錄系統中所有使用者最後一次成功登入系統的時間,這是一個二進位制檔案,不能用vi檢視,可以用lastlog檢視
/var/log/wtmp
永久記錄所有使用者的登入、登出資訊,同時記錄系統的啟動、重啟、關機事件。同樣這個檔案也是一個二進位制檔案,不能直接vi,而需要使用last命令來檢視。
/var/log/utmp
記錄當前已經登入的使用者資訊,這個檔案會隨著使用者的登入和登出不斷變化,只記錄當前登入使用者的資訊。同樣這個檔案不能直接vi,而要使用w,who,users等命令來查詢。
/var/log/secure
記錄驗證和授權方面的資訊,只要涉及賬號和密碼的程式都會記錄,比如SSH登入,su切換使用者,sudo授權,甚至新增使用者和修改使用者密碼都會記錄在這個日誌檔案中
查詢登入系統失敗的20個賬號
> lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20
定位有多少IP在爆-破主機的root帳號
> grep "Failed password for root" /var/log/secure | sort | uniq -c | sort -nr | more
檢視所有重啟日誌資訊
> last reboot
檢視系統正常的執行時間
> uptime -s
檢視哪些IP在爆-破
> grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
檢視哪些IP登入成功了
> grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登入成功的日期,使用者名稱,IP
> gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70023145/viewspace-2925255/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- linux檢測系統是否被入侵(上)Linux
- 怎麼檢測伺服器是否被入侵伺服器
- 在Linux中,什麼是入侵檢測系統(IDS)和入侵防禦系統(IPS)?Linux
- SNORT入侵檢測系統
- Snort 入侵檢測系統
- Linux 上搭建 Snort+BASE 入侵檢測系統Linux
- Linux中如何檢視8080埠是否被佔用?Linux
- 人員入侵檢測系統
- LINUX中如何檢視某個埠是否被佔用Linux
- LINUX中埠是否被佔用應該如何檢視呢?Linux
- Linux入侵檢測基礎Linux
- 網路安全筆記-入侵檢測系統筆記
- Linux系統中,要檢查CUDA是否安裝成功Linux
- Linux中系統狀態檢測命令Linux
- 入侵檢測系統綜述文獻研讀
- 如何排查linux伺服器被入侵Linux伺服器
- Java檢測埠是否被佔用Java
- 技術分享 | Linux 入侵檢測中的程式建立監控Linux
- 11個步驟完美排查Linux機器是否已經被入侵Linux
- 在Linux中,如何檢視系統日誌?Linux
- 如何在 Debian/Ubuntu 系統中檢查程式包是否安裝?Ubuntu
- 如何檢查多個遠端 Linux 系統是否開啟了指定埠?Linux
- 【星課堂】快速入門:如何使用Suricata構建網路入侵檢測系統?
- Linux中如何檢視系統是什麼版本?Linux
- 在Linux系統中如何檢視有哪些組?Linux
- Android 應用檢測裝置是否被rootAndroid
- 檢視Linux埠是否被開放@[環境部署]Linux
- 6.20入侵檢測排查
- 怎麼檢視網站是否被谷歌收錄,檢視網站是否被谷歌收錄的快速檢測方法網站谷歌
- linux下檢視埠是否被佔用以及檢視所有埠Linux
- 微信域名檢測原理 批次檢測域名是否被微信攔截
- Linux系統中如何檢視塊裝置資訊?Linux
- 基於圖的下一代入侵檢測系統
- Linux系統檢視ntp是否同步的方法有幾種?Linux
- Linux 如何檢視系統負載Linux負載
- 在Linux中,如何檢視和審計系統日誌檔案以檢測異常活動?Linux
- 在Linux中,如何檢視系統資源使用情況?Linux
- 在Linux中,如何檢視系統的磁碟使用情況?Linux