Linux入侵分析步骤

 时间:2026-04-22 03:44:05

1、1.      非正常的账号    

  1.1    在/etc/passwd里寻找任何可疑用户,尤其是Uid为0的用户

  1.2    寻找被删除账号的目录下是否有可疑文件

   命令

      find / -nouser

      find / -nogroup

2、2. 不正常的文件

  2.1查找所有SUID和GUID和档案

       find / -uid 0 –perm -4000

       find / -uid 0 –perm 2000

  2.2    查找隐藏文件和特殊文件

       find / -name “ *”

       find / -name “. *”

       find / -name “.. *”

 2.3 寻找proc和/tmp或者/var/tmp中异常的文档

3、3. 异常服务

    3.1 检查所有服务

          chkconfig –list

   3.2  检查异常程序

         ps –aux

         lsof –i 异常进程pid

4、4. 异常网络活动

    寻找异常的活动

       netstat –anp

5、5. 异常自动化任务

    寻找cron的异常行为

        crontab –u root –l

6、6. 主机异常

    6.1 查看系统上的记录找出可疑事件

     主要包括

         1.大量的认证失败(sshd,ftp等服务)

         2.重新启动系统

         3.重新启动软件

          目录主要包括如下

             /var/log/message  一般信息和系统信息

            /var/log/secure  登陆信息

            /var/log/maillog  mail记录

            /var/log/utmp /var/log/wtmp登陆记录信息

  6.2 异常kernel

         Dmesg

  6.3   查找异常的rpm包

        rpm -qa

        rpm –V

  • linux redhat7.2下vim的安装与使用方法
  • 深入分析VMware虚拟机的三种组网模式
  • deepin20怎么设置壁纸和屏保
  • lampp 的启动、重启和停止
  • 广州大彩物联型串口屏音视频大内存文件快速处理
  • 热门搜索
    word画图怎么画 怎么写小说赚钱 怎么用啤酒洗头 家庭出身怎么写 微信英文怎么说 猫和路由器怎么连接 猫王怎么死的 wifi信号弱怎么办 监理证怎么考 川剧变脸是怎么变的