排查Linux服务器是否被入侵步骤
作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,以下是结合centos7.9操作系统进行排查Linux操作系统是否被入侵,其他Linux发行版的操作类似
1.入侵者可能会删除机器的日志信息
可以查看日志信息是否还存在或者是否被清空,相关命令
[root@master01 ~]# ls /var/log/*
/var/log/boot.log /var/log/dmesg.old /var/log/messages-20221113 /var/log/vmware-network.1.log
/var/log/btmp /var/log/maillog /var/log/secure-20221113 /var/log/vmware-vmsvc.3.log
/var/log/cron /var/log/maillog-20221106 /var/log/spooler /var/log/wtmp
/var/log/dmesg /var/log/messages-20221106 /var/log/tallylog
[root@master01 ~]# du -sh /var/log/
183M /var/log/
[root@master01 ~]# du -sh /var/log/*
2.6M /var/log/anaconda
39M /var/log/audit
0 /var/log/boot.log
20K /var/log/boot.log-20200417
12K /var/log/boot.log-20200816
24K /var/log/boot.log-20220216
12K /var/log/boot.log-20221001
8.0K /var/log/btmp
2.入侵者可能创建一个新的存放用户名及密码文件
可以查看/etc/passwd及/etc/shadow文件,相关命令:
[root@master01 ~]# ll /etc/pass*
-rw-r--r--. 1 root root 1022 Jan 25 2022 /etc/passwd
-rw-r--r--. 1 root root 986 Apr 16 2020 /etc/passwd-
[root@master01 ~]# ll /etc/shado*
----------. 1 root root 653 Nov 15 10:33 /etc/shadow
----------. 1 root root 634 May 5 2020 /etc/shadow-
3.入侵者可能修改用户名及密码文件
可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,看看是否有异常用户,相关命令:
[root@master01 ~]# more /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
[root@master01 ~]# more /etc/shadow
root:$6$67Tijq/P$AcFLf9.4334pEKLAc1jFWTYzzLp92.qAl2El5MSZEjfm8YsW.3m3I1C7Oi.SMntqIUQr4eF.Fcm.EVfbdDEWf0:19311:0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
adm:*:17834:0:99999:7:::
lp:*:17834:0:99999:7:::
4.查看机器最近成功登陆的事件和最后一次不成功的登陆事
对应日志“/var/log/lastlog”,相关命令:
[root@master01 ~]# last
root pts/0 10.3.180.178 Tue Nov 22 08:27 still logged in
root pts/0 10.0.252.47 Sat Nov 19 22:52 - 14:23 (15:31)
root pts/0 10.0.252.47 Sat Nov 19 04:49 - 22:52 (18:02)
root pts/0 10.3.180.178 Fri Nov 18 14:51 - 14:54 (00:02)
root pts/1 10.3.180.178 Fri Nov 18 14:51 - 14:51 (00:00)
root pts/1 10.3.180.178 Fri Nov 18 13:45 - 14:45 (00:59)
5.查看机器当前登录的全部用户
对应日志文件“/var/run/utmp”,相关命令
[root@master01 ~]# who
root pts/0 2022-11-22 08:27 (10.3.180.178)
6.查看机器创建以来登陆过的用户
对应日志文件“/var/log/wtmp”,相关命令
[root@master01 ~]# last
root pts/0 10.3.180.178 Tue Nov 22 08:27 still logged in
root pts/0 10.0.252.47 Sat Nov 19 22:52 - 14:23 (15:31)
root pts/0 10.0.252.47 Sat Nov 19 04:49 - 22:52 (18:02)
root pts/0 10.3.180.178 Fri Nov 18 14:51 - 14:54 (00:02)
root pts/1 10.3.180.178 Fri Nov 18 14:51 - 14:51 (00:00)
root pts/1 10.3.180.178 Fri Nov 18 13:45 - 14:45 (00:59)
7.查看机器所有用户的连接时间(小时)
对应日志文件“/var/log/wtmp”,相关命令
[root@master01 ~]# ac -dp | more
root 28.89
Apr 16 total 28.89
root 151.58
Apr 19 total 151.58
root 52.11
Apr 20 total 52.11
root 62.00
Apr 21 total 62.00
root 60.41
备注:如果操作系统提示没有ac命令,centos系统可以通过命令 yum install psacct安装
8.如果发现机器产生了异常流量
可以使用命令“tcpdump”抓取网络包查看流量情况或者使用工具”iperf”查看流量情况。
tcpdump命令可以重点学习一下,这个单独讲解,通过流量分析异常问题虽说比较难,但是可以定位到深层次的网络问题
9.可以查看/var/log/secure日志文件
尝试发现入侵者的信息,相关命令
[root@master01 ~]# cat /var/log/secure | grep -i "accepted"
Nov 22 08:27:02 master01 sshd[17081]: Accepted publickey for root from 10.3.180.178 port 62392 ssh2: RSA SHA256:KdRyYMK79OVOE5pIc5fTp9kW0YyA9eyydEPyevqYGVY
10.查询异常进程所对应的执行脚本文件
a.top命令查看异常进程对应的PID
top
b.在虚拟文件系统目录查找该进程的可执行文件
ll /proc/PID/ | grep -i exe #PID要替换成真实的PID数字
排查Linux服务器是否被入侵步骤相关推荐
- 安全强化你的 Linux 服务器的七个步骤
转载来源 :安全强化你的 Linux 服务器的七个步骤 : http://www.safebase.cn/article-258808-1.html 这篇入门文章将向你介绍基本的 Linux 服务器安 ...
- linux服务器重启的步骤,linux服务器重启步骤_保护Linux服务器的7个步骤
linux服务器重启步骤 本入门将向您介绍基本的Linux服务器安全性. 虽然它专注于Debian / Ubuntu,但是您可以将此处介绍的所有内容应用于其他Linux发行版. 我也鼓励您研究此材料并 ...
- 如何判断Linux服务器是否被入侵?
被入侵服务器的症状 当服务器被没有经验攻击者或者自动攻击程序入侵了的话,他们往往会消耗 100% 的资源.他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件,也可能消耗带宽来发动 DoS ...
- java检测服务器磁盘空间占满_Java性能检测工具-记录一次通过jstack排查Linux服务器CPU占用率很高的实践...
一.问题描述 Linux服务器的配置是4核16G,将war包部署到tomcat后,启动tomcat,发现内存占用率不高,但是CPU一直高达100%:浏览器输入相关url也无法访问该项目,且tomcat ...
- linux服务器宕机原因排查,Linux服务器中网站数据库宕机的自动检测及重启脚本...
最近一段时间,Linux服务器中的一个重要网站的数据库总是奔溃,导致网站无法正常访问(显示为网站正在维护中),于是就决定写个脚本来自动监控这个网站是否正常,如果发现网站宕机,则自动重启数据库和网站. ...
- linux服务器部署react项目步骤详解
一.安装node环境 下载软件包 wget https://nodejs.org/dist/v11.10.0/node-v11.10.0-linux-x64.tar.gz 解压 tar ...
- linux服务器排查病毒纪实
1. 前言 昨天邮件收到如下图所示: 一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器.接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否被入侵? 2. 判断Lin ...
- Linux服务器安全简明指南
现在让我们强化你的服务器以防止未授权访问. 经常升级系统 将软件更新到最新版本通常是任何操作系统所必需的安全预防措施.软件在更新时通常会在大到关键漏洞补丁.小到bug修复的范围内进行,很多漏洞实际上在 ...
- 运维快速入门必备的 Linux 服务器安全简明指南,速收!
本文导航 -经常升级系统00% -自动安全更新02% -添加一个受限用户账户07% -CentOS / Fedora11% -Ubuntu13% -Debian15% -加固 SSH 访问21% -创 ...
最新文章
- 【LorMe云讲堂】蔡枫:真菌的耐盐机制
- Selenium3自动化测试——9.多窗口切换
- HTML5 SVG
- Java中这7个方法,一不小心就用错了!
- Python直接调用C库的printf()函数打印一条消息
- JavaWeb——MyBatis入门程序
- python解析库 爬虫_Python 爬虫 解析库的使用 --- XPath
- 手机微信html代码,html5 css3手机微信ui界面代码
- cocos2d-lua 3x 基础概念(包括场景、导演、在屏幕上显示自定义对象等)
- 从IP138上获取数据,查询多个IP的归宿地
- 修改订单金额!?0.01 元购买 iPhoneX?| Web谈逻辑漏洞
- 小米运动app关联支付宝
- 十二条最经典摄影技巧
- windows中 FFmpeg 配置libx264 遇到的坑和解决办法
- Mac 上设置显示器相关参数介绍
- (戒急用忍)本来是要展望2019的,没想到重点不由自主的写成了回顾前几年的事情了
- Android事件分发机制在实战开发中的应用之二
- 30种常用管理工具模型整理分享(上)
- mysql无法执行二进制文件_kail系统64,mysql64,出现-bash: bin/mysqld: 无法执行二进制文...
- 浅谈人工智能(`AI`)基础知识