Linux駭客入侵檢測的排查思路(全)
檢查賬號
檢視是否有新增使用者
檢查是否有UID和GID是0的賬號 UID為0代表具有root許可權
檢視具有root許可權的使用者
檢視使用者檔案的修改日期
檢視是否有空密碼的使用者(原理就是密碼檔案的第二行不為空就是有密碼)
檢查日誌
日誌對於安全來說,非常重要,他記錄了系統每天發生的各種各樣的事情,你可以透過它來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。日誌主要的功能有:審計和監測。他還可以即時的監測系統狀態,監測和追蹤侵入者等等。
檢視日誌的最後10條
時事更新日誌
檢視所有開啟的埠
檢視最近使用者的登入時間
檢視登入失敗記錄
檢視使用者上一次的登入情況
檢查程序
檢視全部程序,特別注意UID為0的
檢視程序開啟過得檔案(-p後面接的PID)
檢視守護程序的檔案
檢查開機啟動程序
檢查系統
檢查檔案
被入侵的網站,通常肯定有檔案被改動,那麼可以透過比較檔案建立時間、完整性、檔案路徑等方式檢視檔案是否被改動。
查詢root使用者的檔案
檢視大於10M的檔案
檢查計劃任務
檢視root的計劃任務
檢視計劃任務的配置檔案
檢查歷史命令任務
檢視使用者家目錄下的**.bash_history檔案或者使用history**命令
連結:https://blog.csdn.net/weixin_46622350/article/details/117985398?spm=1001.2014.3001.5502
(版權歸原作者所有,侵刪)
文末福利
就目前來說,傳統運維衝擊年薪30W+的轉型方向就是SRE&DevOps崗位。
為了幫助大家早日擺脫繁瑣的基層運維工作,給大家整理了一套高階運維工程師必備技能資料包,內容有多詳實豐富看下圖!
共有 20 個模組
······
以上所有資料獲取請掃碼
備註:最新運維資料
100%免費領取
(後臺不再回復,掃碼一鍵領取