检测Linux系统是否被入侵

0    66    1

Tags:

👉 本文共约2167个字,系统预计阅读时间或需9分钟。

入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。

查询特权用户特权用户(uid 为0)

查找远程可以登录的账户

  • $1:MD5(长度 22个字符)
  • $5:SHA-256(长度 43 个字符)
  • $6:SHA-512(长度86 个字符)

检查sudo权限

删除或锁定账号

通过上面的步骤可以找到可疑的账号

查看当前登录系统的信息

检查异常端口

使用netstat 网络连接命令,分析可疑端口、IP、PID等信息。

抓包分析

使用ps命令检查可疑的进程

查超系统中占用资源最高的资源

发现异常进一步检查

本人提供Oracle(OCP、OCM)、MySQL(OCP)、PostgreSQL(PGCA、PGCE、PGCM)等数据库的培训和考证业务,私聊QQ646634621或微信db_bao,谢谢!
检测Linux系统是否被入侵后续精彩内容已被小麦苗无情隐藏,请输入验证码解锁本站所有文章
验证码:
请关注本站微信公众号,回复“小麦苗博客”,获取验证码。在微信里搜索“DB宝”或者“www_xmmup_com”或者微信扫描右侧二维码都可以关注本站微信公众号。

标签:

Avatar photo

小麦苗

学习或考证,均可联系麦老师,请加微信db_bao或QQ646634621

您可能还喜欢...

发表回复

嘿,我是小麦,需要帮助随时找我哦
  • 18509239930
  • 个人微信

  • 麦老师QQ聊天
  • 个人邮箱
  • 点击加入QQ群
  • 个人微店

  • 回到顶部