Linux***检查
2016-03-25 18:59
330 查看
0x00、审计命令
在linux中有5个用于审计的命令:last:这个命令可用于查看我们系统的成功登录、光机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。
ladtb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。
lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出。
who:这个命令用户查看当前登录系统的情况;这个命令就是将/var/log/utmp文件格式化输出。
w:与who命令一致。
关于它们的使用:man last,last与lastb命令使用方法类似:
last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name…] [tty…]
lastb [-R] [-num] [ -n num ] [ -f file ] [-adFiowx] [name…] [tty…]
who [OPTION]… [ FILE | ARG1 ARG2 ]
参数说明:请参考:http://man.linuxde.net/
1、 查看系统登录情况
last:不带任何参数,显示系统的登录以及重启情况
2、只针对关机/重启
使用-x参数可以针对不同的情况进行查看
3、只针对登录
使用-d参数,并且参数后不用跟任何选项
4、显示错误的登录信息
lastb
5、查看当前登录情况
who、w
0x01、日志查看
在Linux系统中,有三类主要的日志子系统:● 连接时间日志:
由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能
够跟踪谁在何时登录到系统。(utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。有关当前登录用户的信息
记录在文件utmp中; 登录进入和退出记录在文件wtmp中;
数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。)
● 进程统计: 由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。
● 错误日志:
由syslogd(8)守护程序执行,各种系统守护进程、用户程序和内核通过syslogd(3)守护程序向文件/var/log/messages报告
值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
日志目录:/var/log(默认目录)
1、查看进程日志
cat /var/log/messages
2、查看服务日志
cat /var/log/maillog
0x02、用户查看
Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录;
1、查看详细
less /etc/passwd:查看是否有新增用户grep :0 /etc/passwd:查看是否有特权用户(root权限用户)ls -l /etc/passwd:查看passwd最后修改时间awk -F: '$3==0 {print $1}' /etc/passwd:查看是否存在特权用户awk -F: 'length($2)==0 {print $1}' /etc/shadow:查看是否存在空口令用户注:linux设置空口令:passwd -d username
0x03、进程查看
1、普通进程查看
进程中我们一般使用ps来查看进程;man psps -aux:查看进程lsof -p pid:查看进程所打开的端口及文件
2、检查隐藏进程
ps -ef | awk '{print }' | sort -n | uniq >1ls /proc | sort -n |uniq >2diff 1 2注:以上3个步骤为检查隐藏进程
0x04、其他检查
1、检查文件
find / -uid 0 -print:查找特权用户文件find / -size +10000k -print:查找大于10000k的文件find / -name "..." -prin:查找用户名为...的文件find / -name core -exec ls -l {} \\;:查找core文件,并列出详细信息md5sum -b filename:查看文件的md5值rpm -qf /bin/ls:检查文件的完整性(还有其它/bin目录下的文件)
2、检查网络
ip link | grep PROMISC:正常网卡不应该存在promisc,如果存在可能有sniffer lsof -i netstat -nap:查看不正常端口arp -a:查看arp记录是否正常
3、计划任务
crontab -u root -l:查看root用户的计划任务cat /etc/crontab ls -l /etc/cron.*:查看cron文件是变化的详细ls /var/spool/cron/
4、检查后门
对于linux的后门检查,网络上有一些公开的工具,但是在不使用这些工具的前提时,我们可以通过一些命令来获取一些信息。首先就是检测计划任务,可以参考上面;
第二:查看ssh永久链接文件:vim $HOME/.ssh/authorized_keys
第三:lsmod:检查内核模块
第四:
chkconfig --list/systemctl list-units --type=service:检查自启第五:服务后门/异常端口(是否存在shell反弹或监听)
其它:
ls /etc/rc.d ls /etc/rc3.d
此博文内容转载自:http://www.heysec.org/archives/141
相关文章推荐
- Linux socket 初步
- Linux Kernel 4.0 RC5 发布!
- linux lsof详解
- linux 文件权限
- Linux 执行数学运算
- 10 篇对初学者和专家都有用的 Linux 命令教程
- Linux 与 Windows 对UNICODE 的处理方式
- Ubuntu12.04下QQ完美走起啊!走起啊!有木有啊!
- 解決Linux下Android开发真机调试设备不被识别问题
- 运维入门
- 运维提升
- Linux 自检和 SystemTap
- Ubuntu Linux使用体验
- c语言实现hashmap(转载)
- Linux 信号signal处理机制
- linux下mysql添加用户
- Scientific Linux 5.5 图形安装教程
- Linux 下无损图片压缩小工具介绍