linux安全检查

1 ssh后门

检察语句:

grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al

检察方法:如发现以下三个红框内的其中一个请截图并记录,基本确定为存在后门

2 nginx后门

检察语句: grep "pwnginx=" `which nginx` -al

检察方法: 如果搜出来东西基本可以确定存在后门,请截图并记录.

没有安NGINX的话可以CTRL+C退出查询

3 日志搜索

检察语句:

more /var/log/messages* |grep drawing

more /var/log/messages* | grep glistering

more /var/log/secure* |grep -e ‘Failed password‘ -e ‘ Accepted password‘

检察方法:以上前两个检察语句,如搜到,如下

以上两个截图搜出的主要是网卡修改信息,如有非本机的ip地址,请记录.

以下是more /var/log/secure* |grep -e ‘Failed password‘ -e ‘ Accepted password‘

搜索出来的登陆成功和失败的截图,请详细排查以下不认识的IP,并记录时间和IP.

4 检察异常帐户

检察语句:

more /etc/passwd

more /etc/sudoer

检察方法: 查看用户标识号:组标识号 如果其中有一个为0 即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户  如:

5 登陆IP 和时间

检察语句:

who /var/log/wtmp

检察方法:查看异常登陆时间和IP,如有异常请记录时间IP

6 异常端口检察

检察语句:

netstat -an|more

检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.

7 网卡查询

检察语句:

ifconfig

检察方法:如有异常,如网卡子接口等非自己配置的,请记录

8 利用木马扫描工具进行全站扫描

暂时比较好用的工具推荐用WINDOWS版本的工具,LINUX版本误报太多,且不利用观察.

可以把目录拷贝出来进行扫描,扫描出4-5级别的问题基本可以确认为恶意文件.

9 利用查询语句,在服务器内查询有关非法页面内包括的关键字或词,定位非法页面所在地.并查询创建时间等,并着重检查在该时间段产生的文件等

10 检察历史操作信息

检察语句:

History

检察方法”看是否有异常操作,如有异常请确认后记录

时间: 2024-10-10 20:16:08

linux安全检查的相关文章

如何编写自己的Linux安全检查脚本?

因为本人工作中要涉及到很多东西,审计(日志.数据神马的).源代码审计.渗透测试.开发一大堆东西,有些东西,越是深入去做,越会发现,没有工具或脚本,工作起来是有多么的坑. 工作的这段时间,自己写了几个工具:Web日志分析.linux服务器安全检查脚本.webshell查杀和webshell文件监控工具,接下来找机会,我会慢慢的都给大家共享出来. 其实我遇到的情况,很多管理员都会遇到,一堆服务器,尤其是linux的,没办法像windows那样便捷,现成的工具也没有辣么多,有些工具呢,你还得装环境,但

【信息安全系列】Linux主机安全检查

#!/bin/bash ################################################################# ## ## ## It was used for Linux OS Security configuration check ## ## ## ################################################################# ##检查Linux主机是否开启了不必要的服务等:## echo '#

【信息安全系列】RedHat Linux常用安全检查标准

一.系统服务类检查 1.检查项目:检查Linux主机是否开启了不必要的服务等: [检查要点] 明确不建议开启的服务列表.对需要特殊说明的服务,单独列出检查要求,如R系列服务.检查主机是否关闭SENDMAIL服务. [检查对象] RedHat Linux系统 [检查方法] 检查操作:     执行:chkconfig --list,建议禁止以下服务:     shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth,Anan

linux服务器安全检查脚本

#说明:大家平时对linux服务器安全主要是对系统用户的检查,登陆服务器IP检查,以及防火墙状态检查! 1.需要把正确系统用户名存储在/root/liu_shell/local_user.txt文件中,然后进行比较! 2.对登陆IP判断是不是以192.168.1和192.168.2开头的IP为正常IP! 3.判断iptables状态! #!/usr/bin/python #coding=utf-8 import sys,os,re,socket host=str(socket.gethostna

Lynis:linux系统安全检查工具

项目背景: 软件补丁管理.恶意软件扫描.文件完整性检查.安全审查.配置错误检查等.要有一款安全漏洞自动扫描工具!! 最好不要钱! 试验环境: vmware workstation 11 服务器:ip:192.168.0.19   关闭iptables  setenforce0 SecureCRT (ssh远程连接软件) lynis-2.1.0-1.el6.noarch 实验过程 一.软件安装 yum install -y lynis 二.软件使用 检查整个文件系统的安全情况 lynis --ch

解决linux netcore https请求使用自签名证书忽略安全检查方法

当前系统环境:centos7 x64. dotnet 2.0. 不管是 ServicePointManager.ServerCertificateValidationCallback = (a, b, c, d) => true; 还是: HttpClient httpClient = new HttpClient(new HttpClientHandler() { ServerCertificateCustomValidationCallback = (a, b, c, d) => true

如何切入 Linux 内核源代码

Makefile不是Make Love 从前在学校,混了四年,没有学到任何东西,每天就是逃课,上网,玩游戏,睡觉.毕业的时候,人家跟我说Makefile我完全不知,但是一说Make Love我就来劲了,现在想来依然觉得丢人. 毫不夸张地说,Kconfig和Makefile是我们浏览内核代码时最为依仗的两个文件.基本上,Linux内核中每一个目录下边都会有一个 Kconfig文件和一个Makefile文件.对于一个希望能够在Linux内核的汪洋代码里看到一丝曙光的人来说,将它们放在怎么重要的地位都

XAMPP 的 Linux 版 (x86 兼容处理器版)安装配置使用详细介绍,教你建好一个LAMPP站!

XAMPP 的 Linux 版 (x86 兼容处理器版) 以前被称作 LAMPP,但为了避免误解,将其重名命为 ?XAMPP 的 Linux 版?.所以,如果您在寻找 LAMPP下载.安装.配置.使用方法,您就来对地方了. 安装过程仅 4 个步骤 步骤 1:下载 只需点击下面的链接.下载最新版总是好主意.:)完整的下载列表(老版本)可在 SourceForge 找到. 详细的 XAMPP 各版本更新记录可在 发布说明 中找到. XAMPP Linux 1.8.2 107 MB Apache 2.

Linux系统安全审计工具Lynis

Lynis是一款开源的系统安全审计功能工具,该工具由一系列的shell脚本构成系统进行全面安全检查的工具,可以发现系统.账户.进程等多个层面所存在的安全风险,并以直观的方式逐一列出,支持目前主流的Linux平台.一.LYNIS检查项目大致如下     系统程序是否被置换或篡改,避免管理者或使用者执行恶意程序     开机程序及系统设置,并检测目前已开启的服务     系统中的帐号信息(用户.组)及帐号验证方式     是否存在有风险的三方软件     防火墙设置是否开启    Web Serve