Linux入侵检查
2018-01-11 13:46
218 查看
本文记录一些Linux系统被入侵后,常用的检测手段和命令:
history/last/lastlog看登录操作历史
crontab -l cat /etc/cron* 看任务有无异常
top 看有没有cpu占用高的,如果中了挖矿木马,cpu占用会很高。
sar -n DEV 看有没有大流量
netstat -anput看有无异常连接, 异常连接的对端地址能不能封掉
lsof -i:port 看详细情况
发现木马后,可以按照文件大小搜索文件系统,如:
find / -size 1243c
看看ps netstat lsof 等命令大小和日期是否正常,有没有被木马篡改,用ls -alt查看,或者用sha1sum命令得到这几个命令的hash值,到virustotal上查询一下。
查看是否有开机启动项,查看/etc/init.d目录,
ls -alt 查看是否有新建的文件,如果文件时间戳被改了,则还需要仔细查看文件内容。
清理木马时,通常都会有守护进程,即进程杀掉后,会又出现,此时需要找出守护进程,新生成的进程是由父进程创建的,记下新进程的PID,
用ps ef| grep PID命令,第三列即是父进程的ID,然后根据该ID找到父进程及相应的文件。然后杀掉相关进程即可。
获取到木马样本时,也可以将其拖到IDA中查看,可以详细了解木马做了哪些事情,防止在清理时有遗漏。
history/last/lastlog看登录操作历史
crontab -l cat /etc/cron* 看任务有无异常
top 看有没有cpu占用高的,如果中了挖矿木马,cpu占用会很高。
sar -n DEV 看有没有大流量
netstat -anput看有无异常连接, 异常连接的对端地址能不能封掉
lsof -i:port 看详细情况
发现木马后,可以按照文件大小搜索文件系统,如:
find / -size 1243c
看看ps netstat lsof 等命令大小和日期是否正常,有没有被木马篡改,用ls -alt查看,或者用sha1sum命令得到这几个命令的hash值,到virustotal上查询一下。
查看是否有开机启动项,查看/etc/init.d目录,
ls -alt 查看是否有新建的文件,如果文件时间戳被改了,则还需要仔细查看文件内容。
清理木马时,通常都会有守护进程,即进程杀掉后,会又出现,此时需要找出守护进程,新生成的进程是由父进程创建的,记下新进程的PID,
用ps ef| grep PID命令,第三列即是父进程的ID,然后根据该ID找到父进程及相应的文件。然后杀掉相关进程即可。
获取到木马样本时,也可以将其拖到IDA中查看,可以详细了解木马做了哪些事情,防止在清理时有遗漏。
相关文章推荐
- Linux入侵检查实用指令
- 检查linux入侵的命令
- Linux入侵检查
- Linux入侵检查思路及其命令 转自https://yq.aliyun.com/articles/24250?spm=5176.100239.blogcont24249.12.rbBrIh
- Linux入侵检查实用指令
- Linux入侵检查实用指令
- Linux入侵检查实用指令
- 检查linux是否被入侵
- Linux入侵检查实用指令
- [转]Linux入侵检查
- 11个检查Linux是否被入侵的方法
- 学习检查Linux是否遭到入侵篡改
- 检查Linux是否被入侵
- 检查linux是否被入侵的工具-chkrootkit安装及使用教程
- [转]Linux入侵检查
- linux 入侵检查转载
- 11个检查Linux是否被入侵的方法
- 彻底摆脱配置文件 七(基于linux USER2信号检查当前管理的配置项信息)
- Linux有问必答:如何检查Linux的内存使用状况
- Linux上检查MySQL数据表的存储引擎类型三板斧