9步排查服务器是否被入侵
简介:10步排查服务器是否被入侵
我们今天就以CentOS系统为例,排查自己的服务器是否被入侵过。
1.入侵者可能会删除机器的日志信息
可以查看日志信息是否还存在或者是否被清空,相关命令如下:
ll -h /var/log/*
# 或者
du -sh /var/log/*2.入侵者可能创建一个新的存放用户名及密码的文件
可以查看 /etc/passwd 及 /etc/shadow 文件,相关命令如下:
# 查看/etc/passwd文件
ll /etc/pass*
# 查看 /etc/shadow 文件
ll /etc/sha*3.入侵者可能修改用户名及密码文件
# 查看密码文件
more /etc/passwd
# 查看shadow文件对比密码是否被修改过
more /etc/shadow4.查看机器最近登录成功的事件和最后一次不成功的登录时间
对应的日志 /var/log/lastlog,相关命令如下:
lastlog5查看机器当前登录的全部用户
对应的日志文件 /var/run/utmp,相关命令如下:
who6.查看机器创建以来登录过的用户
对应的日志文件 /var/log/wtmp,相关命令如下:
last7.机器产生的异常流量
可以使用 tcpdump 命令抓取网络包查看流量情况或者使用 iperf 工具查看流量情况
8.查看/var/log/secure日志文件
尝试发现入侵者的信息,相关命令如下:
cat /var/log/secure | grep -i "accepted passwd"9.查询异常进程所对应的执行脚本文件
- 使用top命令查看异常进程对应的pid
- 在虚拟文件系统目录查找该进程的可执行文件
ll /proc/1850/ | grep -i exe注意:/proc/后面的数字是进程pid值
有遗漏或者不对的可以在我的公众号留言哦
