linux
系统的服务器被入侵,总结了以下的基本方法,供不大懂linux服务器网理人员参考考学习。\x0d\首先先用iptraf查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门\x0d\1 检查帐户\x0d\# less /etc/passwd\x0d\# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)\x0d\# ls -l /etc/passwd(查看文件修改日期)\x0d\# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)\x0d\# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)\x0d\ \x0d\2 检查
日志\x0d\# last(查看正常情况下登录到本机的所有用户的历史记录)\x0d\注意”entered promiscuous mode”\x0d\注意错误信息\x0d\注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)\x0d\ \x0d\3 检查进程\x0d\# ps -aux(注意UID是0的)\x0d\# lsof -p pid(察看该进程所打开端口和文件)\x0d\# cat /etc/inetdconf | grep -v “^#”(检查守护进程)\x0d\检查隐藏进程\x0d\# ps -ef|awk ‘{print }’|sort -n|uniq >1\x0d\# ls /porc |sort -n|uniq >2\x0d\# diff 1 2\x0d\ \x0d\4 检查文件\x0d\# find / -uid 0 _perm -4000 _print\x0d\# find / -size +10000k _print\x0d\# find / -name “” _print\x0d\# find / -name “ ” _print\x0d\# find / -name “ ” _print\x0d\# find / -name ” ” _print\x0d\注意SUID文件,可疑大于10M和空格文件\x0d\# find / -name core -exec ls -l {} ;(检查系统中的core文件)\x0d\检查系统文件完整性\x0d\# rpm _qf /bin/ls\x0d\# rpm -qf /bin/login\x0d\# md5sum _b 文件名\x0d\# md5sum _t 文件名\x0d\ \x0d\5 检查RPM\x0d\# rpm _Va\x0d\输出格式:\x0d\S _ File size differs\x0d\M _ Mode differs (permissions)\x0d\5 _ MD5 sum differs\x0d\D _ Device number mismatch\x0d\L _ readLink path mismatch\x0d\U _ user ownership differs\x0d\G _ group ownership differs\x0d\T _ modification time differs\x0d\注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin\x0d\ \x0d\6 检查网络\x0d\# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)\x0d\# lsof _i\x0d\# netstat _nap(察看不正常打开的TCP/UDP端口)\x0d\# arp _a\x0d\ \x0d\7 检查计划任务\x0d\注意root和UID是0的schedule\x0d\# crontab _u root _l\x0d\# cat /etc/crontab\x0d\# ls /etc/cron\x0d\ \x0d\8 检查后门\x0d\# cat /etc/crontab\x0d\# ls /var/spool/cron/\x0d\# cat /etc/rcd/rclocal\x0d\# ls /etc/rcd\x0d\# ls /etc/rc3d\x0d\# find / -type f -perm 4000\x0d\ \x0d\9 检查内核模块\x0d\# lsmod\x0d\ \x0d\10 检查系统服务\x0d\# chkconfig\x0d\# rpcinfo -p(查看RPC服务)\x0d\ \x0d\11 检查rootkit\x0d\# rkhunter -c\x0d\# chkrootkit -q一般通过WEB日志,系统日志,或是软件的日志,都能知道。
这些日志主要还要看你使用了哪些软件,使用不同的软件,日志不一样,比如win系统里的 事件查看器里的安全,就是记录如些用户登陆了
你的系统,然后登陆情况。再比如IIS的日志里显示出错的日志,一般入侵的时候他不知道你的电脑信息,可能尝试登陆或猜解你的信息,有的故意让系统出错,出错回返回大量有用的信息给我们,所以一般出错的日志都是比较重要的。
--天下数据--其实查案子有时间和技术是没有关系的。从技术上说想查到你是很难的。看来你做的是挺大,当查到你用的那个IP地址的时候就可以锁定你的位置,就像上楼说的那样,你可能被监控了,包括你以前常常在一个地方踩点时留下的痕迹。换个说法当你的车子在一个地方哪怕出现一次。查你的人都会去求证的。如果你真的想干点大事,那你需要经过可别的训练,还要有一个密切的团队,如果你觉得你很聪明,那我可以不客气的说,是人都有弱点,而国家里有一大批能针对你的弱点的专家。我不反对犯法。但是不要危害国家太大的利益。那时谁也救不了你。
360是不支持查看的。
可以用系统功能查看,方法如下:
开始--运行--在对话框中输入cmd--输入NET USER查看用户里面一般有guest\SUPPORT_388945a0\HELPASSISTENT\aspnet\Administrator以及你自己的账户都是正常的,多余的一般都是远程控制你的账户。
远程控制:
是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,连通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。远程唤醒(WOL),即通过局域网络实现远程开机。
评论列表(0条)