伺服器被入侵檢查步驟
檢視/etc/passwd和/etc/shadow檔案是否有可疑賬號
查詢伺服器登入日誌記錄
核心啟動日誌:/var/log/dmesg
系統報錯日誌:/var/log/messages
郵件系統日誌:/var/log/maillog
ftp系統日誌:/var/log/xferlog
安全資訊和系統登入與網路連線的資訊:/var/log/secure
登入記錄:/var/log/wtmp
news
日誌:/var/log/spooler
rpm軟體包:/var/log/rpmpkgs
xfree86
日誌:/var/log/xfree86.0.log
引導日誌:/var/log/boot.log 記錄開機啟動訊息,dmesg | more
cron(
定製任務日誌)日誌:/var/log/cron
檔案/var/run/utmp 記錄現在登入的使用者
檔案 /var/log/wtmp 記錄所有的登入和登出,who /var/log/wtmp
檔案 /var/log/lastlog 記錄每個使用者最後的登入資訊
檔案 /var/log/btmp 記錄錯誤的登入嘗試
使用top命令檢視是否有可疑程序
使用命令netstat –an | more檢視是否開啟可疑埠和連線外部可疑ip
使用命令find / -mtime -10 –type –f檢視十天之內根目錄下被修過的檔案
mtime ---n天以內
type –f 普通檔案型別
待補充。。。。。。。。。。。。。。。。。。
日誌的作用
Windows server伺服器入侵檢查
檢測不正常賬戶 查詢被新增的賬號,特別是管理員群組的 administrators group 裡的新增賬戶。c lusrmgr.msc c net localgroup administrators c net localgroup administrateurs 查詢隱藏的檔案 在系統資料夾裡檢...
伺服器被入侵如何排查?如何防止伺服器被入侵?
遇到很多次客戶伺服器被入侵的情況,有些伺服器被植入木馬後門 有些被檢查出有挖礦程式 有些發現登入密碼不對,被惡意登入修改了密碼,遇到了伺服器被入侵的情況應第一時間聯絡服務商售後處理將損失降低到最低程度,讓 遊戲等業務恢復。根據以往的處理經驗,總結了一些伺服器被入侵的排查方法,專門用來檢查伺服器第一時...
裸奔伺服器被入侵 亡羊補牢
幾個朋友的 放在伺服器上,但他們都是沒有安全防範,隨便給了進了系統,然後還上傳檔案,被傳了一些webshell上來,差點搞成破壞。很是鬱悶啊。入侵跡線 通過在啟動裡面增加了乙個程式來完成新增使用者許可權的操作,還有開了server u乙個新域用來上傳檔案,遠端桌面被控制,事件日誌被刪除等等。還好沒有...