Linux后门入侵检测方法以及工具
2015-08-11 20:53
671 查看
后门程序:rootkit
1. 文件级别
伪装成关键文件,比如login, ls, ps等来获取关键信息,达到获取root密码攻击系统
2.内核级别
伪装成系统内核来攻击,这种方式比较难处理,通常的方式只能是拔网线,重装系统
后门检测工具
1.chkrootkit
http://www.chkrootkit.org
2.RKHunter
http://www.rootkit.nl/projects/rootkit_hunter.html
服务器受攻击后的处理过程
1.切断网络
2.查找攻击源(通关关键的日志进行查看)
/var/log/messages, /var/log/wtmp, /var/log/secure
查找是否有使用nologin的用户登录的进程
3.分析入侵途径和原因
4.备份用户数据
5.重装操作系统
6.修复程序或者系统漏洞
7.恢复数据和连接网络
1. 文件级别
伪装成关键文件,比如login, ls, ps等来获取关键信息,达到获取root密码攻击系统
2.内核级别
伪装成系统内核来攻击,这种方式比较难处理,通常的方式只能是拔网线,重装系统
后门检测工具
1.chkrootkit
http://www.chkrootkit.org
2.RKHunter
http://www.rootkit.nl/projects/rootkit_hunter.html
服务器受攻击后的处理过程
1.切断网络
2.查找攻击源(通关关键的日志进行查看)
/var/log/messages, /var/log/wtmp, /var/log/secure
查找是否有使用nologin的用户登录的进程
3.分析入侵途径和原因
4.备份用户数据
5.重装操作系统
6.修复程序或者系统漏洞
7.恢复数据和连接网络
相关文章推荐
- [Linux]结合awk删除hdfs指定日期前的数据
- VMWare虚拟机下为Ubuntu 配置静态IP(NAT方式)
- linux进程故障调试工具strace(转)
- Linux文件监控
- 阿里云服务器linux(centos)常用命令
- Linux管道命令(pipe)之选取命令grep
- Linux开发环境的搭建和使用——Linux 常用的命令使用
- linux下qtcreator进行start debugging发生错误
- Linux下mysql数据库常用命令一
- redhat替换centos 6.6 yum源
- Linux学习笔记-----Linux安装
- Linux环境进程间通信
- 克隆centos的vm虚拟机
- 如何分析Linux日志
- linux 命令
- linux安装gcc-arm-none-eabi
- CentOS安装phpmyadmin
- 使用 /proc 文件系统来访问 Linux 内核的内容
- Linux的运行级别
- centos 6.3用yum安装中文输入法