Linux檢測系統(tǒng)是否被入侵

網(wǎng)絡(luò)安全培訓" />

　　檢查系統(tǒng)的異常文件

　　查看敏感目錄，如/tmp目錄下的文件，同時注意隱藏文件夾，以.為名的文件夾具有隱藏屬性

　　> ls -al

　　查找1天以內(nèi)被訪問過的文件

　　> find /opt -iname "*" -atime 1 -type f

　　-iname不區(qū)分大小寫,-atime最近一次被訪問的時間,-type文件類型

　　檢查歷史命令

　　查看被入侵后,在系統(tǒng)上執(zhí)行過哪些命令,使用root用戶登錄系統(tǒng)，檢查/home目錄下的用戶主目錄的.bash_history文件

　　默認情況下，系統(tǒng)可以保存1000條的歷史命令，并不記錄命令執(zhí)行的時間，根據(jù)需要進行安全加固。

　　設(shè)置保存1萬條命令

　　> sed -i 's/HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

　　history加固

　　> vim /etc/profile

　　USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`

　　if [ "$USER_IP"=="" ]

　　then

　　USER_IP=`hostname`

　　fi

　　export HISTTIMEFORMAT="%F %T $USER_IP `whoami`"

　　#為防止會話退出時覆蓋其他會話寫到HISTFILE的內(nèi)容

　　shopt -s histappend

　　export PROMPT_COMMAND="history -a"

　　//配置生效

　　> source /etc/profile

　　PROMPT_COMMAND是什么

　　PS1-PS4介紹了一些用于提示信息控制的環(huán)境變量，而在此之前可以進行回調(diào)的一個環(huán)境變量就是PROMPT_COMMAND，這個環(huán)境變量中設(shè)定的內(nèi)容將在交互式腳本的提示(PS1)出現(xiàn)之前被執(zhí)行。

　　檢查系統(tǒng)日志

　　在Linux上一般跟系統(tǒng)相關(guān)的日志默認都會放到/var/log下面，若是一旦出現(xiàn)問題，用戶就可以通過查看日志來迅速定位，及時解決問題。常用日志文件如下：

　　/var/log/btmp

　　記錄錯誤登錄日志,這個文件是二進制文件,不能用vi直接查看,可以用lastb看

　　/var/log/lastlog

　　記錄系統(tǒng)中所有用戶最后一次成功登錄系統(tǒng)的時間,這是一個二進制文件,不能用vi查看,可以用lastlog查看

　　/var/log/wtmp

　　永久記錄所有用戶的登錄、注銷信息，同時記錄系統(tǒng)的啟動、重啟、關(guān)機事件。同樣這個文件也是一個二進制文件，不能直接vi，而需要使用last命令來查看。

　　/var/log/utmp

　　記錄當前已經(jīng)登錄的用戶信息，這個文件會隨著用戶的登錄和注銷不斷變化，只記錄當前登錄用戶的信息。同樣這個文件不能直接vi，而要使用w,who,users等命令來查詢。

　　/var/log/secure

　　記錄驗證和授權(quán)方面的信息，只要涉及賬號和密碼的程序都會記錄，比如SSH登錄，su切換用戶，sudo授權(quán)，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中

　　查找登錄系統(tǒng)失敗的20個賬號

　　> lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20

　　定位有多少IP在爆破主機的root帳號

　　> grep "Failed password for root" /var/log/secure | sort | uniq -c | sort -nr | more

　　查看所有重啟日志信息

　　> last reboot

　　查看系統(tǒng)正常的運行時間

　　> uptime -s

　　查看哪些IP在爆破

　　> grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

　　查看哪些IP登錄成功了

　　> grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

　　登錄成功的日期,用戶名,IP

　　> gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}

　　更多關(guān)于“網(wǎng)絡(luò)安全培訓”的問題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學，課程大綱緊跟企業(yè)需求，更科學更嚴謹，每年培養(yǎng)泛IT人才近2萬人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時歡迎你來試聽。