• linux安全检查


    1 ssh后门

    检察语句:

    grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al

     

    检察方法:如发现以下三个红框内的其中一个请截图并记录,基本确定为存在后门

    2 nginx后门

    检察语句: grep "pwnginx=" `which nginx` -al

    检察方法: 如果搜出来东西基本可以确定存在后门,请截图并记录.

    没有安NGINX的话可以CTRL+C退出查询

    3 日志搜索

    检察语句:   

    more /var/log/messages* |grep drawing

    more /var/log/messages* | grep glistering

    more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'

    检察方法:以上前两个检察语句,如搜到,如下

     

     

    以上两个截图搜出的主要是网卡修改信息,如有非本机的ip地址,请记录.

    以下是more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'

    搜索出来的登陆成功和失败的截图,请详细排查以下不认识的IP,并记录时间和IP.

     

    4 检察异常帐户

    检察语句:

    more /etc/passwd

    more /etc/sudoer

    检察方法: 查看用户标识号:组标识号 如果其中有一个为0 即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户  :

     

    登陆IP 和时间

    检察语句:

    who /var/log/wtmp

    检察方法:查看异常登陆时间和IP,如有异常请记录时间IP

    6 异常端口检察

    检察语句:

    netstat -an|more

    检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.

    7 网卡查询

    检察语句:

    ifconfig

    检察方法:如有异常,如网卡子接口等非自己配置的,请记录

    8 利用木马扫描工具进行全站扫描

    暂时比较好用的工具推荐用WINDOWS版本的工具,LINUX版本误报太多,且不利用观察.

    可以把目录拷贝出来进行扫描,扫描出4-5级别的问题基本可以确认为恶意文件.

    利用查询语句,在服务器内查询有关非法页面内包括的关键字或词,定位非法页面所在地.并查询创建时间等,并着重检查在该时间段产生的文件等

    10 检察历史操作信息

     

    检察语句:  

    History

    检察方法”看是否有异常操作,如有异常请确认后记录

  • 相关阅读:
    本博客完美的支持移动端
    vue监听滚动事件,元素顶部吸附实现
    提高java反射速度的方法method.setAccessible(true)
    居家必备技能之检测电表是否虚高
    家用无线网络故障排查记录
    java 泛型类的继承关系和转型问题
    Office2019 相关激活秘钥
    IDEA记坑之移动项目文件之后,import 找不到文件以及出现Cannot access的问题
    Idea 可用激活方式
    MySQL 合并查询,以map或对象的形式返回
  • 原文地址:https://www.cnblogs.com/ryanlamp/p/5837859.html
Copyright © 2020-2023  润新知