⑴Linux系统如果被入侵了,那么个人的隐私数据就很可能泄露,系统也处于危险之中,那么要如何只是系统是否被入侵呢?定期的检查是很有必要的,下面小编就给大家介绍下如何检查Linux是否被入侵。
⑵# less /etc/passwd《/p》 《p》# grep :: /etc/passwd(检查是否产生了新用户,和UID、GID是的用户《/p》 《p》# ls -l /etc/passwd(查看文件修改日期《/p》 《p》# awk -F: ‘$= = {print $}’ /etc/passwd(查看是否存在特权用户《/p》 《p》# awk -F: ‘length($= = {print $}’ /etc/shadow(查看是否存在空口令帐户
⑶(查看正常情况下登录到本机的所有用户的历史记录
⑷注意”entered promiscuous mode”
⑸注 意Remote Procedure Call (rpc programs with a log entry that includes a large number (》 strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM
⑹# ps -aux(注意UID是的《/p》 《p》# lsof -p pid(察看该进程所打开端口和文件《/p》 《p》# cat /etc/id.conf | grep -v “^#”(检查守护进程《/p》 《p》检查隐藏进程《/p》 《p》# ps -ef|awk ‘{print }’|sort -n|uniq 》《/p》 《p》# ls /porc |sort -n|uniq 》《/p》 《p》# diff
⑺# find / -uid –perm - –print《/p》 《p》# find / -size +k –print《/p》 《p》# find / -name “…” –print《/p》 《p》# find / -name “。。 ” –print《/p》 《p》# find / -name “。 ” –print《/p》 《p》# find / -name ” ” –print《/p》 《p》注意SUID文件,可疑大于M和空格文件
⑻# find / -name core -exec ls -l {}
⑼(检查系统中的core文件《/p》 《p》检查系统文件完整性《/p》 《p》# rpm –qf /bin/ls《/p》 《p》# rpm -qf /bin/login《/p》 《p》# mdsum –b 文件名《/p》 《p》# mdsum –t 文件名
⑽# rpm –Va
⑾输出格式:《/p》 《p》S – File size differs《/p》 《p》M – Mode differs (permissions《/p》 《p》 – MD sum differs《/p》 《p》D – Device number mismatch《/p》 《p》L – readLink path mismatch《/p》 《p》U – user ownership differs《/p》 《p》G – group ownership differs《/p》 《p》T – modification time differs《/p》 《p》注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin
⑿# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer《/p》 《p》# lsof –i《/p》 《p》# stat –nap(察看不正常打开的TCP/UDP端口《/p》 《p》# arp –a
⒀. 检查计划任务
⒁注意root和UID是的schedule《/p》 《p》# crontab –u root –l《/p》 《p》# cat /etc/crontab《/p》 《p》# ls /etc/cron.*
⒂# cat /etc/crontab《/p》 《p》# ls /var/spool/cron/《/p》 《p》# cat /etc/rc.d/rc.local《/p》 《p》# ls /etc/rc.d《/p》 《p》# ls /etc/rc.d《/p》 《p》# find / -type f -perm
⒃. 检查内核模块
⒄. 检查系统服务
⒅# chkconfig《/p》 《p》# rpcinfo -p(查看RPC服务
⒆. 检查rootkit
⒇# rkhunter -c《/p》 《p》# chkrootkit -q
⒈上面就是检查Linux系统是否被入侵的方法介绍了,如果你觉得你的电脑不够安全,又或者有信息被盗用的情况,那么不妨使用本文的方法检查下吧。