12 人签到
    搜索
    Hi~登录注册
    查看: 293|回复: 1
    收起左侧

    Linux手工入侵检测使用的常见命令

    [复制链接]

    457

    主题

    4

    精华

    557 小时

    在线时间

    管理员

    积分
    398
    发表于 2018-12-26 09:25:14 | 显示全部楼层 |阅读模式






    正好近期又用到了就给大家简单的整理了一些发出来




    检查1:当前都有谁在登陆

    查看当前有谁登陆在服务器上

    w

    who -a

    检查2:谁曾经登陆过

    记录那些用户,从哪个ip,在什么时候登陆的以及登陆了多长时间这些信息。

    last

    检测3:查看历史命令

    若运行history命令但是并没有输出任何东西表示历史文件被删掉了,这是个不好的消息。

    history

    history -c 清除历史命令

    检测4:哪些进程占用CPU或者内存比较高

    top shirt+P

    top shirt+M

    检测5:检测所有的系统进程

    ps aux

    检测6:看看有没有奇怪的进程

    ps -aef | grep inetd

    检测7:检测进程的网络使用情况

    netstat -a

    检测8:哪些进程在监听网络连接

    列出本机所有的连接和监听的端口,查看有没有非法连接

    netstat -plunt

    lsof -i:8080

    检测9:用户检测

    找出uid为0的账号

    查看空口令账号

    awk -F: '($2=="")' /etc/shadow

    awk -F: '($3==0)' /etc/passwd

    找出root权限的用户

    grep -v -E "^#" /etc/passwd | awk -F: '$3==0{print $1}'

    检测10:查看进程树是否所有异常进程存在一个父进程、判断进程的父子关系

    pstree -p

    ps -elf

    检测11:检测隐藏进程

    ps -ef | awk '{print}' | sort -n |uniq >1

    ls /proc | sort -n |uniq >2

    diff 1 2

    以上3个步骤为检测隐藏进程

    检测12:检测文件

    /tmp目录,ls -la,查看所有文件,注意隐藏的文件

    md5sum -b filename  查看文件的md5值

    whereis filename   查看文件路径

    ls -al filname   查看文件创建时间

    检测13:检测系统守护进程

    ls /etc/crontab

    检测14:检测系统日志

    ls /var/log/

    检测15:检测系统后门

    系统开机后,此目录下的文件会自启动

    ls /etc/rc.d

    ls /etc/rc3.d

    查找比较著名的木马后门程序

    find / -name ".rhosts" -print

    find / -name ".forward" -print

    检测16 打包文件

    打包web文件

    tar cvf check_files.tar 'find . -type f -name "*.jsp*"'

    打包日志文件

    tar -cvf log.tar /var/log

    打包其他信息

    last > last.log

    netstat -an >netstat.log



    find /web -name '*.php' -type f -mtime -7 -ls

    检测web目录在7天内被修改过的php文件

    last命令看一下近期的登陆情况

    history 历史执行的命令

    Linux中的各种日志集合

    cd /var/log

    查看ssh用户的登录日志:

    less secure

    若存在大量空连接 比如SYN_RECV状态  很有可能是存在拒绝服务攻击

    find ./ -mtime 0    返回最近24小时内修改过的文件。

    find ./ -mtime 1 : 返回的是前48~24小时修改过的文件。而不是48小时以内修改过的文件。

    以下工具可以帮你将目标服务器的日志回传回来,如果你有公网vps也可以上传上去

    scp root@192.168.1.2:/opt/soft/nginx-0.5.38.tar.gz /opt/soft/    将制定文件下载到本地

    scp 要上传的文件名  ssh用户名@远程服务器ip:上传到远程服务器的那个目录






    上一篇:圣地亚哥学区50万名学生的信息被窃取
    下一篇:分享一个沙盒里捕获的一个PHP 大马,过所有杀软包括D盾
    回复

    使用道具 举报

    9

    主题

    0

    精华

    58 小时

    在线时间

    荣誉会员

    Rank: 8Rank: 8

    积分
    98
    发表于 2018-12-26 11:36:45 | 显示全部楼层
    我来抢沙发了!!!沙发
    茫茫人海,遇见你很有缘。
    回复 支持 反对

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表