history/last/lastlog看登入操作歷史
crontab -l cat /etc/cron* 看任務有無異常
top 看有沒有cpu占用高的,如果中了挖礦木馬,cpu占用會很高。
sar -n dev 看有沒有大流量
netstat -anput看有無異常連線, 異常連線的對端位址能不能封掉
lsof -i:port 看詳細情況
發現木馬後,可以按照檔案大小搜尋檔案系統,如:
find / -size 1243c
看看ps netstat lsof 等命令大小和日期是否正常,有沒有被木馬篡改,用ls -alt檢視,或者用sha1sum命令得到這幾個命令的hash值,到virustotal上查詢一下。
檢視是否有開機啟動項,檢視/etc/init.d目錄,
ls -alt 檢視是否有新建的檔案,如果檔案時間戳被改了,則還需要仔細檢視檔案內容。
清理木馬時,通常都會有守護程序,即程序殺掉後,會又出現,此時需要找出守護程序,新生成的程序是由父程序建立的,記下新程序的pid,
用ps ef| grep pid命令,第三列即是父程序的
id,然後根據該
id找到父程序及相應的檔案。然後殺掉相關程序即可。
獲取到木馬樣本時,也可以將其拖到ida中檢視,可以詳細了解木馬做了哪些事情,防止在清理時有遺漏。
檢查Linux系統是否被入侵
今天看到乙個有意思的攻擊方式,系統被人入侵,當這個入侵程式執行的時候會產生乙個程序pid,一般這個程序不是在 proc中產生的,所以可以用指令碼匹配系統有沒有被入侵。嘗試一下指令碼,學習shell中。我用ps aux可以檢視到程序的pid,而每個pid都會在 proc中產生。如果檢視到的pid在 p...
Windows server伺服器入侵檢查
檢測不正常賬戶 查詢被新增的賬號,特別是管理員群組的 administrators group 裡的新增賬戶。c lusrmgr.msc c net localgroup administrators c net localgroup administrateurs 查詢隱藏的檔案 在系統資料夾裡檢...
伺服器被入侵檢查步驟
伺服器被入侵檢查步驟 檢視 etc passwd和 etc shadow檔案是否有可疑賬號 查詢伺服器登入日誌記錄 核心啟動日誌 var log dmesg 系統報錯日誌 var log messages 郵件系統日誌 var log maillog ftp系統日誌 var log xferlog ...