linux
系统的服务器被入侵,总结了以下的基本方法,供不大懂linux服务器网理人员参考考学习。\x0d\x0a首先先用iptraf查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门\x0d\x0a1.
检查帐户\x0d\x0a# less /etc/passwd\x0d\x0a# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)\x0d\x0a# ls -l /etc/passwd(查看
文件修改日期)\x0d\x0a# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)\x0d\x0a# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)\x0d\x0a \x0d\x0a2. 检查日志\x0d\x0a# last(查看正常情况下登录到本机的所有用户的历史记录)\x0d\x0a注意”entered promiscuous mode”\x0d\x0a注意错误信息\x0d\x0a注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (>20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)\x0d\x0a \x0d\x0a3. 检查进程\x0d\x0a# ps -aux(注意UID是0的)\x0d\x0a# lsof -p pid(察看该进程所打开端口和文件)\x0d\x0a# cat /etc/inetd.conf | grep -v “^#”(检查守护进程)\x0d\x0a检查隐藏进程\x0d\x0a# ps -ef|awk ‘{print }’|sort -n|uniq >1\x0d\x0a# ls /porc |sort -n|uniq >2\x0d\x0a# diff 1 2\x0d\x0a \x0d\x0a4. 检查文件\x0d\x0a# find / -uid 0 _perm -4000 _print\x0d\x0a# find / -size +10000k _print\x0d\x0a# find / -name “?” _print\x0d\x0a# find / -name “.. ” _print\x0d\x0a# find / -name “. ” _print\x0d\x0a# find / -name ” ” _print\x0d\x0a注意SUID文件,可疑大于10M和空格文件\x0d\x0a# find / -name core -exec ls -l {} (检查系统中的core文件)\x0d\x0a检查系统文件完整性\x0d\x0a# rpm _qf /bin/ls\x0d\x0a# rpm -qf /bin/login\x0d\x0a# md5sum _b 文件名\x0d\x0a# md5sum _t 文件名\x0d\x0a \x0d\x0a5. 检查RPM\x0d\x0a# rpm _Va\x0d\x0a输出格式:\x0d\x0aS _ File size differs\x0d\x0aM _ Mode differs (permissions)\x0d\x0a5 _ MD5 sum differs\x0d\x0aD _ Device number mismatch\x0d\x0aL _ readLink path mismatch\x0d\x0aU _ user ownership differs\x0d\x0aG _ group ownership differs\x0d\x0aT _ modification time differs\x0d\x0a注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin\x0d\x0a \x0d\x0a6. 检查网络\x0d\x0a# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)\x0d\x0a# lsof _i\x0d\x0a# netstat _nap(察看不正常打开的TCP/UDP端口)\x0d\x0a# arp _a\x0d\x0a \x0d\x0a7. 检查计划任务\x0d\x0a注意root和UID是0的schedule\x0d\x0a# crontab _u root _l\x0d\x0a# cat /etc/crontab\x0d\x0a# ls /etc/cron.*\x0d\x0a \x0d\x0a8. 检查后门\x0d\x0a# cat /etc/crontab\x0d\x0a# ls /var/spool/cron/\x0d\x0a# cat /etc/rc.d/rc.local\x0d\x0a# ls /etc/rc.d\x0d\x0a# ls /etc/rc3.d\x0d\x0a# find / -type f -perm 4000\x0d\x0a \x0d\x0a9. 检查内核模块\x0d\x0a# lsmod\x0d\x0a \x0d\x0a10. 检查系统服务\x0d\x0a# chkconfig\x0d\x0a# rpcinfo -p(查看RPC服务)\x0d\x0a \x0d\x0a11. 检查rootkit\x0d\x0a# rkhunter -c\x0d\x0a# chkrootkit -q通过检查机器被黑的症状即可.
一般来说, 被黑的机器都会被黑客用于发包或者挖矿, 发包通过监控网卡流量数据即可检测, 挖矿可以使用top命令检测CPU占用率, 发现异常后建议及时备份数据并重装系统.
linux系统centos怎么防止被黑
[root@linuxzgf ~]# echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
二、系统允许ping
[root@linuxzgf ~]# echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all
此上两条命令的效果实时生效,可以用另外的机器ping来测试是否生效。
----------------------------------------------------------------------------------------------------------
/etc/rc.d/rc.local中增加一行
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
0表示允许
1表示禁止
评论列表(0条)