linux查看是否被入侵(二)

1、检查异常系统文件

[root@bastion-IDC ~]# find / -uid 0 -perm -4000 -print

[root@bastion-IDC ~]# find / -size +10000k –print

[root@bastion-IDC ~]# find / -name "…" –print

[root@bastion-IDC ~]# find / -name ".." –print

[root@bastion-IDC ~]# find / -name "." –print

[root@bastion-IDC ~]# find / -name " " –print

2、检查系统文件完整性

[root@bastion-IDC ~]# rpm –qf /bin/ls

[root@bastion-IDC ~]# rpm -qf /bin/login

[root@bastion-IDC ~]# md5sum –b 文件名

[root@bastion-IDC ~]# md5sum –t 文件名

3、检查RPM的完整性

[root@bastion-IDC ~]# rpm -Va  #注意相关的/sbin,/bin,/usr/sbin,/usr/bin

输出格式说明:

  1. S – File size differs
  2. M – Mode differs (permissions)
  3. 5 – MD5 sum differs
  4. D – Device number mismatch
  5. L – readLink path mismatch
  6. U – user ownership differs
  7. G – group ownership differs
  8. T – modification time differs

4、检查网络

4.1检查端口及ip绑定

[root@bastion-IDC ~]# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)

[root@bastion-IDC ~]# lsof -i  #查看tcp和udp连接信息,lsof -i tcp或lsof -i udp

[root@bastion-IDC ~]# netstat -nap(察看不正常打开的TCP/UDP端口)

[root@bastion-IDC ~]# arp -a

4.2 检查宽带

[root@bastion-IDC ~]# nethogs 检查进程使用的带宽流量(yum -y install nethogs安装)

[root@bastion-IDC ~]# iftop -n 检查每个连接使用的带宽(yum -y install iftop安装)

[root@bastion-IDC ~]# bwm-ng 检查系统网络接口数据传输速度(yum -y install bwm-ng安装)

5、查看/usr/bin/ 中最近变动的文件

ls -lt /usr/bin/ | head

或者用 `ls -lrt /usr/bin/` 查看按时间倒序查

7、检查系统计划任务

[root@bastion-IDC ~]# crontab -u root -l

[root@bastion-IDC ~]# cat /etc/crontab

[root@bastion-IDC ~]# ls /etc/cron.*

8、检查系统后门

[root@bastion-IDC ~]# cat /etc/crontab

[root@bastion-IDC ~]# ls /var/spool/cron/

[root@bastion-IDC ~]# cat /etc/rc.d/rc.local

[root@bastion-IDC ~]# ls /etc/rc.d

[root@bastion-IDC ~]# ls /etc/rc3.d

9、检查系统服务

[root@bastion-IDC ~]# chkconfig --list | grep :on

[root@bastion-IDC ~]# rpcinfo -p(显示本地系统中注册到rpcbind协议版本2的所有RPC服务,yum -y install rpcbind安装)

11、检查系统是否感rootkit

Rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root  权限登录到系统。

 rootkit主要有两种类型:文件级别和内核级别。

11.1 文件级别的rootkit:

一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。 

11.2 内核级rootkit:

是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范为主。

12、使用rkhunter检测

[root@bastion-IDC ~]# rkhunter -c

每项检测结果都高亮显示,绿色表示正常,红色表示需要引起关注,上面的检测需要与用户交互输入“回车”,可以使用--sk选项使其自动检测:

[root@bastion-IDC ~]# rkhunter --check --skip-keypress

13、使用chrootit检测

[root@bastion-IDC ~]# chkrootkit -q| grep INFECTED #出现INFECTED就说明系统可能有问题了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/18295.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

云计算-Lambda事件 (Lambda Events)

检索事件信息 (Retrieving Event Information) 在上一个主题中,我们已经看到了如何创建一个Lambda函数、添加handler、添加触发器和配置执行策略。在本主题中,我们将对其进行扩展。到目前为止,我们看到的handler应用非常简单,但我…

香橙派——创建Service打开热点

文章目录 要创建一个service来创建热点,你可以按照以下步骤进行操作: 创建一个service文件: sudo vim /etc/systemd/system/hotspot.service这将使用nano编辑器创建一个新的service文件。 在打开的文件中,添加以下内容&#xff1…

linux 定时执行shell、python脚本

在linux里设置定时执行一般是用crontab,如果没有的话,可以先安装: 安装 查看是否安装 cron -v # 对于基于Debian的系统(如Ubuntu) sudo apt-get install cron# 对于基于RedHat的系统(如CentOS&#xff…

【5】:三维到二维变换(模型、视图、投影)

观测变换 物体上某一点的坐标变换顺序:M->V->P MVP变换用来描述视图变换的任务,即将虚拟世界中的三维物体映射(变换)到二维坐标中。 1.Model Transformation 模型变换 场景中每个物体上的某一点,从局部坐标系…

YoloV8实战:各种图绘制汇总(mAP50、mAP50-95、loss、PR_curve、F1_curve)|科研必备|绘图神器

摘要 本文的内容是告诉大家如何绘制mAP50、mAP50-95、loss、PR_curve、F1_curve等图像,方便大家写论文。 绘制mAP50、mAP50-95、loss等图。 先上效果,如下图: 首先将,训练的result.csv汇总到一个文件夹下面(这样方便寻找),要不然找起来太麻烦。如下图: 我都放到re…

Pyinstaller打包exe文件解决指南

打包命令 打包 Python 文件 输入如下格式的命令即可 默认命令 Pyinstaller 文件名.py Pyinstaller -option1 -option2 -... 要打包的文件 Pyinstaller 文件名.pyPyinstaller -option1 -option2 -... 要打包的文件 参数选项比较多,这里我列一个表:…

onnx模型转换到rknn脚本

from rknn.api import RKNN ONNX_MODEL ./onnx_models/yolov5s_rm_transpose.onnx # platform"rk1808" platform "rv1109" RKNN_MODEL yolov5s_relu_{}_out_opt.rknn.format(platform) if __name__ __main__: add_perm False # 如果设置成True,则将模…

[C#]winform部署官方yolov10目标检测的onnx模型

【框架地址】 https://github.com/THU-MIG/yolov10 【算法介绍】 今天为大家介绍的是 YOLOv10,这是由清华大学研究团队最新提出的,同样遵循 YOLO 系列设计原则,致力于打造实时端到端的高性能目标检测器。 方法 创新 双标签分配策略 众所…

灯塔工厂产业数字化平台解决方案(50页PPT)

方案介绍: 随着工业4.0和智能制造的快速发展,传统工厂正面临着转型升级的迫切需求。为了提升生产效率、优化资源配置、增强市场竞争力,我们推出了灯塔工厂产业数字化平台解决方案。该方案旨在通过先进的信息技术手段,将传统工厂转…

ROS 程序框架

ROS 程序框架 基本思路(以C为例) 使用catkin_create_pkg创建一个软件包在软件包的src文件夹下创建一个节点的cpp源码文件在节点的源码文件中include包含ROS的头文件构建一个main函数,并在函数的开头执行ros::init()构建while循环&#xff0…

蒙特卡洛法求解机械臂工作空间(以IRB4600型工业机械臂为例)

1. 概念 工作空间是衡量机器人工作能力的一个重要的运动学指标,蒙特卡洛法是一种随机模拟方法,用于在计算机上估计某些统计量,对于要估计的统计量,通过模拟大量的随机抽样,并计算这些样本的随机值来估算这个统计量的值…

数字信号处理实验三:IIR数字滤波器设计及软件实现

一、实验目的 1. 掌握MATLAB中进行IIR模拟滤波器的设计的相关函数的应用; 2. 掌握MATLAB的工具箱中提供的常用IIR数字滤波器的设计函数的应用; 3.掌握MATLAB的工具箱中提供的模拟滤波器转数字滤波器的相关的设计函数的应用。 二、实验内容 本实验为…

CC1310 Debug interface is locked

XDS110连接CC1310板子,打开Smart RF 弹出窗口如下: 解决办法: 1 打开SmartRF Flash Programmer 2 选择连接的设备CC1310, 弹出如下窗口,点击OK。 3 点击Tools图标,选择CC26XX/CC13XX Forced Mass Erase。 4 在弹出的…

Windows11系统安装QEMU虚拟化软件

Windows11系统安装QEMU虚拟化软件 QEMU软件是一个通用的开源机器模拟器和虚拟机。本文档适用于在Windows 11系统平台上安装QEMU软件。 1. 安装准备 1.1 安装平台 Windows 11 1.2. 软件信息 软件名称软件版本安装路径QEMUQEMU-8.2.93D:\qemu 1.3软件下载 QEMU官网官网下…

【全开源】西陆家政系统源码小程序(FastAdmin+ThinkPHP+原生微信小程序)

打造高效便捷的家政服务平台 一、引言:家政服务的数字化转型 随着人们生活节奏的加快,家政服务需求日益增长。为了满足广大用户对高效、便捷的家政服务的需求,家政小程序系统源码应运而生。这款源码不仅能够帮助家政服务提供商快速搭建自己…

关于本人VIP付费文章说明

郑重声明:我写博客只是为了记录分享经验 自从上次写完数据结构系列后我就一直没有登陆,目前也没打算继续开新内容。今天偶然发现我之前写的文章被设为vip文章,要vip解锁才能看,我很确定当初我发布的时候选择的是公开,…

FastGPT + OneAPI 构建知识库

云端text-embedding模型 这个在前面的文章FastGPT私有化部署OneAPI配置大模型中其实已经说过,大概就是部署完成OneAPI后,分别新建令牌和渠道,并完成FastGPT的配置。 新建渠道 选择模型的类型并配置对应的词向量模型即可,这里我…

整库同步 Catalog 和 Flink CDC

Flink CDC(Change Data Capture)连接器本身并不直接读取Catalog数据。Flink CDC连接器的主要目的是从关系型数据库中的binlog(二进制日志)中捕获变更事件,并将这些事件作为数据流传递给Flink应用程序进行处理。 Catal…

excel数据丢失怎么办?表格文件恢复的3个方法

Excel作为一个常用的表格文件,我们在工作中经常都需要用到它。最令人崩溃的事就是有时候我们辛辛苦苦用Excel完成了工作,但是突然发现Excel数据丢失。这可怎么办呢?如何找回丢失的Excel数据?下面小编就分享几种恢复办法。 方法一&…

FPGA——eMMC验证

一.FPGA基础 1.FPGA烧录流程 (1) 加载流文件 —— bitfile (2) 烧录文件 —— cmm 二.MMC 1.基础知识 (1)jz4740、mmc、emmc、sd之间的关系? jz4740——处理器 mmc——存储卡标准 emmc——mmc基础上发展的高效存储解决方案 sd—— 三.eMMC和SD case验证 1.ca…