首页 Linux网维 Linux入侵检测基础

Linux入侵检测基础

0x00 审计命令在linux中有5个用于审计的命令:last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出las…

0x00 审计命令在linux中有5个用于审计的命令:last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。

lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出who:这个命令用户查看当前登录系统的情况;这个命令就是将/var/log/utmp文件格式化输出。

w:与who命令一致关于它们的使用:man last,last与lastb命令使用方法类似:#!bash last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name…] [tty…] lastb [-R] [-num] [ -n num ] [ -f file ] [-adFiowx] [name…] [tty…] who [OPTION]… [ FILE | ARG1 ARG2 ] 。

参数说明:查看系统登录情况 last:不带任何参数,显示系统的登录以及重启情况

Linux入侵检测基础插图

只针对关机/重启 使用-x参数可以针对不同的情况进行查看

Linux入侵检测基础插图1

只针对登录 使用-d参数,并且参数后不用跟任何选项

Linux入侵检测基础插图2

显示错误的登录信息 lastb查看当前登录情况 who、w0x01 日志查看在Linux系统中,有三类主要的日志子系统:连接时间日志: 由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。

(utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录有关当前登录用户的信息记录在文件utmp中; 登录进入和退出记录在文件wtmp中; 数据交换、关机以及重启的机器信息也都记录在wtmp文件中。

所有的记录都包含时间戳)进程统计: 由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录进程统计的目的是为系统中的基本服务提供命令使用统计错误日志: 由syslogd(8)守护程序执行,各种系统守护进程、用户程序和内核通过syslogd(3)守护程序向文件/var/log/messages报告值得注意的事件。

另外有许多Unix程序创建日志像HTTP和FTP这样提供网络服务的服务器也保持详细的日志日志目录:/var/log(默认目录)查看进程日志 cat /var/log/messages

Linux入侵检测基础插图3

查看服务日志 cat /var/log/maillog

Linux入侵检测基础插图4

0x02 用户查看Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录;查看详细 less /etc/passwd:查看是否有新增用户

grep :0 /etc/passwd:查看是否有特权用户(root权限用户)ls -l /etc/passwd:查看passwd最后修改时间awk -F: $3==0 {print $1} /etc/passwd:查看是否存在特权用户

awk -F: length($2)==0 {print $1} /etc/shadow:查看是否存在空口令用户注:linux设置空口令:passwd -d username

Linux入侵检测基础插图5

0x03 进程查看普通进程查看 进程中我们一般使用ps来查看进程;man psps -aux:查看进程lsof -p pid:查看进程所打开的端口及文件检查隐藏进程 ps -ef | awk {print } | sort -n | uniq >1

ls /proc | sort -n |uniq >2diff 1 2注:以上3个步骤为检查隐藏进程0x04 其他检查检查文件 find / -uid 0 -print:查找特权用户文件find / -size +10000k -print:查找大于10000k的文件

find / -name “…” -prin:查找用户名为…的文件find / -name core -exec ls -l {} \;:查找core文件,并列出详细信息md5sum -b filename:查看文件的md5值

rpm -qf /bin/ls:检查文件的完整性(还有其它/bin目录下的文件)检查网络 ip link | grep PROMISC:正常网卡不应该存在promisc,如果存在可能有snifferlsof -i

netstat -nap:查看不正常端口arp -a:查看arp记录是否正常计划任务 crontab -u root -l:查看root用户的计划任务cat /etc/crontabls -l /etc/cron.*:查看cron文件是变化的详细

ls /var/spool/cron/检查后门 对于linux的后门检查,网络上有一些公开的工具,但是在不使用这些工具的前提时,我们可以通过一些命令来获取一些信息首先就是检测计划任务,可以参考上面; 第二:查看ssh永久链接文件:vim $HOME/.ssh/authorized_keys

第三:lsmod:检查内核模块 第四:chkconfig –list/systemctl list-units –type=service:检查自启 第五:服务后门/异常端口(是否存在shell反弹或监听)

其它: ls /etc/rc.d ls /etc/rc3.d

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。

作者: 3182235786a

为您推荐

linux文件命令

linux文件命令

在 Linux 中,我们可以使用 `with open()` 语句和 `write()` 函数来写入文件。以下是一个简单...
linux的命令

linux的命令

以下是一个简单的 Linux 命令示例,该命令将显示当前日期和时间: “`c #include <st...
linux 命令

linux 命令

由于 Linux 命令是由 C 语言编写的,因此下面是一个简单的用中文编写的 Linux 命令示例,它将输出“Hello...
linux命令tar

linux命令tar

这个问题看起来有些模糊,我不确定您是想了解如何在 Linux 系统中使用 tar 命令,还是如何编写一个名为 tar 的...
linux压缩命令

linux压缩命令

Linux压缩命令:高效管理文件和目录 Linux操作系统提供了一系列强大的压缩命令,使您能够高效地管理文件和目录。无论...

发表回复

返回顶部