当前位置 主页 > 服务器问题 > Linux/apache问题 >

    linux服务器被黑了怎么查?

    栏目:Linux/apache问题 时间:2019-06-05 15:22

          linux系统的服务器被入侵了怎么办,下面是总结的方法,可以供大家参考: 
    首先先用iptraf查下,如果没装的运行yuminstalliptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门
    1、检查帐户
    #less/etc/passwd
    #grep:0:/etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)
    #ls-l/etc/passwd(查看文件修改日期)
    #awk-F:‘$3==0{print$1}’/etc/passwd(查看是否存在特权用户)
    #awk-F:‘length($2)==0{print$1}’/etc/shadow(查看是否存在空口令帐户)
    2、检查日志
    #last(查看正常情况下登录到本机的所有用户的历史记录)
    注意”enteredpromiscuousmode”
    注意错误信息
    注意RemoteProcedureCall(rpc)programswithalogentrythatincludesalargenumber(>20)strangecharacters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
    3、检查进程
    #ps-aux(注意UID是0的)
    #lsof-ppid(察看该进程所打开端口和文件)
    #cat/etc/inetd.conf|grep-v“^#”(检查守护进程)
    检查隐藏进程
    #ps-ef|awk‘{print}’|sort-n|uniq>1
    #ls/porc|sort-n|uniq>2
    #diff12
    4、检查文件
    #find/-uid0–perm-4000–print
    #find/-size+10000k–print
    #find/-name“…”–print
    #find/-name“..”–print
    #find/-name“.”–print
    #find/-name””–print
    注意SUID文件,可疑大于10M和空格文件
    #find/-namecore-execls-l{};(检查系统中的core文件)
    检查系统文件完整性
    #rpm–qf/bin/ls  
    #rpm-qf/bin/login 
    #md5sum–b文件名
    #md5sum–t文件名
    5、检查RPM
    #rpm–Va
    输出格式:
    S–Filesizediffers
    M–Modediffers(permissions)
    5–MD5sumdiffers
    D–Devicenumbermismatch
    L–readLinkpathmismatch
    U–userownershipdiffers
    G–groupownershipdiffers
    T–modificationtimediffers
    注意相关的/sbin,/bin,/usr/sbin,and/usr/bin
    6、检查网络
    #iplink|grepPROMISC(正常网卡不该在promisc模式,可能存在sniffer)
    #lsof–i
    #netstat–nap(察看不正常打开的TCP/UDP端口)
    #arp–a
    7、检查计划任务
    注意root和UID是0的schedule
    #crontab–uroot–l
    #cat/etc/crontab
    #ls/etc/cron.*
    8、检查后门
    #cat/etc/crontab
    #ls/var/spool/cron/
    #cat/etc/rc.d/rc.local
    #ls/etc/rc.d
    #ls/etc/rc3.d
    #find/-typef-perm4000
    9、检查内核模块
    #lsmod
    10、检查系统服务
    #chkconfig
    #rpcinfo-p(查看RPC服务)
    11、检查rootkit
    #rkhunter-c
    #chkrootkit-q