服務器被黑檢查命令
0.查看服務器是否有后門
iptraf 看里面是不是UDP包發(fā)的很多�,如果是,基本都被人裝了后門
yum install iptraf
1.檢查帳戶
last | more 查看正在登錄的用戶
pkill -kill -t pts/4 踢掉異常登錄的賬戶
less /etc/passwd
grep :0: /etc/passwd(檢查是否產生了新用戶��,和UID��、GID是0的用戶)
ls -l /etc/passwd(查看文件修改日期)
awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特權用戶)
awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帳戶)
2.檢查日志
last(查看正常情況下登錄到本機的所有用戶的歷史記錄)
登錄終端時注意 ”entered promiscuous mode” 進入混合模式
tail -f /var/log/messages
3.檢查進程
ps -aux(注意UID是0的)
lsof -p pid(察看該進程所打開端口和文件)
cat /etc/inetd.conf | grep -v “^#”(檢查守護進程)
檢查隱藏進程
ps -ef|awk ‘{print }’|sort -n|uniq >1
ls /porc |sort -n|uniq >2
diff 1 2
```
####4.檢查網絡
```
$ netstat -nl 運行的端口
lsof -i :48988 查看端口對應的進程
ip link | grep PROMISC(正常網卡不該在promisc模式���,可能存在sniffer)
lsof –i
netstat –nap(察看不正常打開的TCP/UDP端口)
arp –a
vi /etc/hosts.deny 拒絕IP
1.查看80端口連接數(shù):
netstat -nat|grep -i "80" |wc -l
2.對連接的IP按連接數(shù)量進行排序:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
3.用tcpdump嗅探80端口的訪問看看誰最高:
tcpdump -i eth0 -tnn dst port 80 -c 1000
4.iptables屏蔽ip:
屏蔽單個IP的命令是 iptables -I INPUT -s 123.45.6.7 -j DROP
封整個段即從123.0.0.1到123.255.255.254的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP
封IP段即從123.45.0.1到123.45.255.254的命令 iptables -I INPUT -s 124.45.0.0/16 -j DROP
封IP段即從123.45.6.1到123.45.6.254的命令是 iptables -I INPUT -s 123.45.6.0/24 -j DROP
```
####5.檢查計劃任務
```
注意root和UID是0的schedule
crontab –u root –l
cat /etc/crontab
ls /etc/cron.*
```
####6.檢查后門
```
cat /etc/crontab
ls /var/spool/cron/
cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d
find / -type f -perm 4000
```
####7.檢查系統(tǒng)服務
```
chkconfig
rpcinfo -p(查看RPC服務)
檢查chkconfig 列表��,防止一些程序加入到開機自啟動中
chkconfig --list
```
####8.檢查文件
```
find / -uid 0 –perm -4000 –print
find / -size +10000k –print
find / -name “…” –print
find / -name “.. ” –print
find / -name “. ” –print
find / -name ” ” –print
注意SUID文件�,可疑大于10M和空格文件
find / -name core -exec ls -l {} ;(檢查系統(tǒng)中的core文件)
檢查系統(tǒng)文件完整性
rpm –qf /bin/ls
rpm -qf /bin/login
md5sum –b 文件名
md5sum –t 文件名
```
####9.檢查內核模塊
```
lsmod
```
####10.檢查rootkit
```
rkhunter -c
chkrootkit -q
```
####11.檢查RPM
```
rpm –Va
輸出格式:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相關的 /sbin, /bin, /usr/sbin, and /usr/bin
```
最后編輯于 :
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成����,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布�����,文章內容僅代表作者本人觀點��,簡書系信息發(fā)布平臺��,僅提供信息存儲服務�。
