学习检查Linux是否遭到入侵篡改

最新推荐文章于 2021-12-05 18:40:47 发布
最新推荐文章于 2021-12-05 18:40:47 发布
阅读量2.6k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_29194935/article/details/76572622

最近在忙服务器上线的事,所以不可避免的要预防系统入侵的方案,所以在学习怎样检查判断自己的系统是否被别人动过.

1.安装个后门监测软件,查查关键文件是否被篡改过

我下了个chkrootkit

安装过程

yum install gcc gcc-c++ make

yum install glibc-static

cd /usr/local/src/

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz #也可以去官网手动下载上传服务器

tar zxvf chkrootkit.tar.gz #解压

cd chkrootkit-0.52

make sense 

使用:

cd /usr/local/src/chkrootkit

执行 ./chkrootkit | grep INFECTED

如果出现INFECTED则说明有关键文件不合适了,有很大几率是被入侵修改了


在替换了被篡改的文件后,接下来还要进行一步步的检查

1、检查系统密码文件 
ls -l /etc/passwd查看文件修改的日期是否正常

2.awk -F: '$3==0 {print $1}' /etc/passwd检查是否存在其他特权账户,

   awk -F: 'length($2)==0 {print $1}' /etc/shadow检查是否存在空口令账户.

3ps -ef 检查进程是否异常

4、检查是否有异常的远程服务开启

5输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。 
输入netstat -rn,查看本机的路由、网关设置是否正确。 

输入 ifconfig -a,查看网卡设置是否异常

6.输入last | more检查所有用户的历史记录

    输入ps -ef|grep syslogd查询syslog服务是否正常,并将PID替换成以下命令输入

    ps -p PID -o lstart 检查上一次syslog启动时间是否正常

    输入ls -al /var/log,检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常

7、输入find / -name “.rhosts” –print

find / -name “.forward” –print 

检查是否有以rhosts或者以forward结尾的后门文件,判断是否遭到入侵

8、使用ls命令检查常用文件及关键位置文件的完整性


这一系列检查下来就知道是不是被入侵了,到底哪里被人改过了



43-2 Linux入侵排查实验
weixin_43263566的博客
05-29 393
最终的效果。
linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
weixin_39519619的博客
11-06 907
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIvIT行业发展到现在,安全问题已经变得至关重要,从之前的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路...
linux下如何查看文件被篡改
aaajavac的博客
01-25 3434
linux使用Inotify监控目录或者文件状态变更:https://blog.csdn.net/daiyudong2020/article/details/51695502
校验Linux程序是否被黑客修改
weixin_33720956的博客
08-03 264
一个黑客突破你的层层防御后,修改你的程序或者覆盖了你的工具时。确定一个已安装程序的所有文件,有没有被修改过的途径之一就是使用RPM包校验功能 如果图片排版有任何错误,欢迎访问我的简书www.jianshu.com/p/906e39353e09 RPM包校验功能 此功能可以将你现在的程序所有文件,与当初安装时记录到数据库中的信息进行比对。从而查出哪些...
linux系统被入侵文件权限被修改了,浅谈 linux入侵排查方法
weixin_35244067的博客
05-15 1110
一:概述本文主要通过查看系统相关信息排查系统能否被入侵。二:排查方法1:查看登陆账号信息 last -a ,能否陌生账号和IP信息who last -a2:查看/etc/passwd 文件内容多个0权限ID和异常IDpasswd -0 id3:查看 cat /var/log/secure | more | grep "authentication failure" 失败信息和 last -a 信息...
linux 系统命令被后门修改_Linux下基于内存分析的Rootkit检测方法
weixin_39975744的博客
11-10 459
原文地址:http://drops.wooyun.org/tips/47310x00 引言某Linux服务器发现异常现象如下图,确定被植入Rootkit,但运维人员使用常规Rootkit检测方法无效,对此情况我们还可以做什么?图1 被植入Rootkit的Linux服务器所有暗链的html文件ls均看不到。使用ls -al 绝对路径,能看到,但无法删除。这些暗链的uid和gid都很奇特 分别为 25...
AIDE:Linux系统下的高级入侵检测和文件完整性保障
当AIDE在后续的检查中发现这些值发生变化,就可以发出警告,表明文件可能遭到破坏或被篡改。 ### 关键特性和功能 - **实时监控:** AIDE可以定时运行,以实时或定期的方式对文件系统进行检查。 - **数据库存储:**...
保护Linux的黑匣子.pdf
09-06
LIDS(Linux Intrusion Detection System)是Linux下的入侵检测和防护系统,它作为内核补丁和安全管理工具,提供保护、检测和响应等功能,极大地增强了内核安全性。LIDS允许我们将系统日志定义为只能追加的文件,...
红队测试之Linux提权小结1
08-03
2. **权限维持**:保持持久的控制,即使初始入侵点被修复,攻击者仍能保留权限。 3. **植入后门**:创建隐藏的入口,便于日后再次进入系统。 4. **数据窃取与篡改**:获取并修改敏感信息。 5. **传播恶意软件**:...
CentOS Linux7系统日志监控:实时防范入侵与异常检测
[CentOS Linux7系统日志监控:实时防范入侵与异常检测](https://opengraph.githubassets.com/47f4a534c3c0c1a6508fe76a0501dca7c5b75465a74c0d26626a5a7cb6f65af6/HewieWang/Linux-Log-analysis-assistant) ...
解决Linux中的/etc/resolv.conf文件被自动篡改的问题
buyue
08-05 1905
虚拟机的centOS每次重启后,resolv.conf的内容总是会被篡改 解决方案: vi /etc/sysconfig/network-scripts/ifcfg-eth0 添加一行 PEERDNS=yes
linux校验文件是否被修改过&验证网络文件传输的完整性
qq_45255417的博客
01-21 971
md5sum md5sum命令采用MD5报文摘要算法(128位)计算和检查文件的校验和。一般来说,安装了Linux后,就会有md5sum这个工具,直接在命令行终端直接运行。 MD5算法常常被用来验证网络文件传输的完整性,防止文件被人篡改。MD5 全称是报文摘要算法(Message-Digest Algorithm 5),此算法对任意长度的信息逐位进行计算,产生一个二进制长度为128位(十六进制长度就是32位)的“指纹”(或称“报文摘要”),不同的文件产生相同的报文摘要的可能性是非常非常之小的。 siasun
隐藏与篡改Linux命令行参数
热门推荐
TCP/IP
04-03 1万+
如果一个程序的命令行是一个password之类的不便展示的字符串,如何不让ps打印出来呢? ps是从/proc/$pid/cmdline里拿的命令行,而/proc/$pid/cmdline则是在内核空间解析用户程序的stack区域获取的数据,那么答案很简单,只需要覆盖掉这个区域即可,下面是个示例: #include <stdio.h> #include <stdlib.h> #include <string.h> int main(int argc, char **ar
linux通知链,基于Linux内核通知链技术的文件防篡改方法及系统与流程
weixin_32200329的博客
05-27 350
技术特征:1.基于linux内核通知链技术的文件防篡改方法,其特征在于,包括如下步骤:s1、启动系统程序,获取并校验输入参数是否合法,并在不合法时程序退出;s2、在验证输入参数合法时,校验输入参数的路径或文件目录是否存在,并在不存在时程序退出;s3、在验证存在路径或文件目录时,判断操作系统是否存在chattr命令,并在存在时,将chattr程序修改为防篡改子程序;s4、初始化inotifyeven...
Linux 命令被劫持了,该怎么处理?
icontent
03-19 501
转自:http://www.pinlue.com/article/2021/03/0200/0011549730700.html
Linux系统启动级别被篡改的解决办法
qq_44193529的博客
02-14 397
系统启动级别 0 poweroff 1 rescue 2 multi 3 multi 4 multi 5 graphical 6 reboot 1.切换到/etc/systemd/system/multi-user.target.wants目录 2.切换到上层目录,修改链接 这样系统在重新启动时会无限重启 在此界面按e进入编辑,在linux16开头的...
怎么快速对比,取证机器有哪些系统命令文件被篡改
kernweak的博客
06-15 2009
如果是redhat相关系统: 系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了: ./rpm -Va > rpm.log 如下: 如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。 验证内容中的8个信息的具体内容如下: 标志 介绍 S 文件大小是否改变 M 文件的类型或文件的权限(rwx)是否
linux检查系统文件是否被劫持
10000day
12-05 367
检查系统文件是否被劫持 枚举系统文件夹的文件,按修改事件排序查看7天内被修改过的文件: find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la
Linux系统启动级别被篡改的恢复方法
Sparks _Fly
02-11 455
1 切换到/etc/systemd/system/multi-user.target.wants目录 [root@localhost ~]# cd /etc/systemd/system [root@localhost system]# cd multi-user.target.wants/ [root@localhost multi-user.target.wants]# pwd /etc/sy...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值