Linux黑客入侵檢測(cè)的排查思路（全）

檢查賬號(hào)

查看是否有新增用戶

檢查是否有UID和GID是0的賬號(hào) UID為0代表具有root權(quán)限

查看具有root權(quán)限的用戶

查看用戶文件的修改日期

查看是否有空密碼的用戶(原理就是密碼文件的第二行不為空就是有密碼)

檢查日志

日志對(duì)于安全來說，非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過它來檢查錯(cuò)誤發(fā)生的原因，或者受到攻擊時(shí)攻擊者留下的痕跡。日志主要的功能有：審計(jì)和監(jiān)測(cè)。他還可以實(shí)時(shí)的監(jiān)測(cè)系統(tǒng)狀態(tài)，監(jiān)測(cè)和追蹤侵入者等等。

查看日志的最后10條

時(shí)事更新日志

查看所有開啟的端口

查看最近用戶的登錄時(shí)間

查看登錄失敗記錄

查看用戶上一次的登錄情況

檢查進(jìn)程

查看全部進(jìn)程，特別注意UID為0的

查看進(jìn)程打開過得文件（-p后面接的PID）

查看守護(hù)進(jìn)程的文件

檢查開機(jī)啟動(dòng)進(jìn)程

檢查系統(tǒng)

檢查文件

被入侵的網(wǎng)站，通常肯定有文件被改動(dòng)，那么可以通過比較文件創(chuàng)建時(shí)間、完整性、文件路徑等方式查看文件是否被改動(dòng)。

查找root用戶的文件

查看大于10M的文件

檢查計(jì)劃任務(wù)

查看root的計(jì)劃任務(wù)

查看計(jì)劃任務(wù)的配置文件

檢查歷史命令任務(wù)

查看用戶家目錄下的**.bash_history文件或者使用history**命令

鏈接：https://blog.csdn.net/weixin_46622350/article/details/117985398?spm=1001.2014.3001.5502