【Linux 入侵检测】

检查linux系统是否被入侵或者中毒的步骤?

一、检查操作系统

(1)检查带宽,查看网卡流量

(2)检查系统登录登出日志,安全日志,和/etc/passwd是否被修改过

(3)查看系统是否存在异常进程:

pwdx -- 查看进程的路径;

lsof  --  查看系统打开的库文件

百度异常进程的名字

(4)查看开机启动服务和定时任务: /etc/rc.local 和 crontab –l

(5)分析系统日志

二、检查应用是否存在漏洞,检查应用的版本信息(日志和进程)

三、常用的入侵检测工具

PSAD 、SNORT

chkrootit、rootkithunter、Tripwire、

四、入侵分析网页

http://www.chinaunix.net/old_jh/4/480362.html

五、附带系统初始化、安全部署脚本

----------------------------------------------------------------------------------------------------------------------------------

cat << EOF
+--------------------------------------------------------------+
| === Welcome to SuSE11_SP1_x64 System init === |
+----------------------Author:Tango --------------------------+
EOF
echo "alias vi=‘vim‘" >> /root/.bashrc
echo ‘syntax on‘ > /root/.vimrc
echo "* soft nofile 52100
* hard nofile 52100" >> /etc/security/limits.conf
cat << EOF
+--------------------------------------------------------------+
| === Welcome to Tunoff services === |
+--------------------------------------------------------------+
EOF
for i in `ls /etc/rc.d/rc3.d/S*`
do
CURSRV=`echo $i|cut -c 20-`
echo $CURSRV
case $CURSRV in
cron |  rpcbind | irq_balancer | dbus | haldaemon | microcode.ctl | network | network-remotefs | sshd | syslog )
echo "Base services, Skip!"
;;
*)
echo "change $CURSRV to off"
chkconfig --level 235 $CURSRV off
service $CURSRV stop
;;
esac
done
cat << EOF
+--------------------------------------------------------------+
| === Welcome to Tuning sysctl.conf === |
+--------------------------------------------------------------+
EOF
> /etc/sysctl.conf
echo "net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 134217728
net.ipv4.ip_local_port_range = 1024 65536
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.ipv4.tcp_fin_timeout = 3
net.ipv4.tcp_tw_recycle = 1
net.core.netdev_max_backlog = 30000
net.ipv4.tcp_no_metrics_save = 1
net.core.somaxconn = 262144
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_max_orphans = 262144
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
vm.swappiness = 6" >> /etc/sysctl.conf
echo "optimizited kernel configure was done!"
cat << EOF
+--------------------------------------------------------------+
| === Welcome to Account Lock === |
+--------------------------------------------------------------+
EOF
passwd -l lp
passwd -l nobody
passwd -l ftp
passwd -l postfix
passwd -l at
passwd -l games
cat << EOF
+--------------------------------------------------------------+
| === Welcome to Lock Important Files === |
+--------------------------------------------------------------+
EOF
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +a /root/.bash_history
chattr +i /root/.bash_history
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
sysctl -p
cat << EOF
+--------------------------------------------------------------+
| === Welcome to Modify SSH Config === |
+--------------------------------------------------------------+
EOF
echo ""

----------------------------------------------------------------------------------------------------------------------------------

【Linux 入侵检测】,布布扣,bubuko.com

时间: 2024-10-12 19:41:26

【Linux 入侵检测】的相关文章

linux入侵检测工具之AIDE

1.aide的概述 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性. AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档.AIDE数据库能够保存文档的各种属性,包括:权限 (permission).索引节点序号(inode number).所属用户(user).所属用户组(group).文档大小.最后修改时间(mtime).创建时间(ctime).最后访问时间

linux入侵检测工具chkrootkit

有时候服务器出现莫名其妙的情况,怀疑机器是否被入侵,可以使用这个chkrootkig工具: chkrootkit是一个开放源代码的安全检测工具他的官方网站是 www.chkrootkit.org 下载地址: http://pkgs.repoforge.org/chkrootkit/ 根据OS版本下载对应的包: wget http://pkgs.repoforge.org/chkrootkit/chkrootkit-0.49-1.el5.rf.x86_64.rpm 开始检测: 运行 chkroot

Linux服务器入侵检测基础

最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询. 一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡).服务器资源被耗尽(挖矿程序).不正常的端口连接(反向shell等).服务器日志被恶意删除等.那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要. 在

企业Shell面试题14:开发脚本入侵检测与报警案例

面试及实战考试题:监控web站点目录(/var/html/www)下所有文件是否被恶意篡改(文件内容被改了),如果有就打印改动的文件名(发邮件),定时任务每3分钟执行一次. 1.1问题分析 1)首先要说明的是,思考过程的积累比实际代码开发的能力积累更重要. 2)什么是恶意篡改,只要是未经过许可的改动都是篡改. 3)文件内容被改动了会有如下特征. ◎ 大小可能会变化 ◎ 修改时间会变化 ◎ 文件内容会变化,利用md5sum指纹校验 ◎ 增加或删除文件,比对每次检测前后的文件数量. 1.2参考解答

搭建开源入侵检测系统Snort并实现与防火墙联动

Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行.BT5作为曾经的一款经典的渗透神器,基于 Ubuntu,里面已经预装很多的应用,比如Mysql.Apache.Snort等等.Guardian是snort的插件,通过读取snort报警日 志将入侵IP加入到Iptables中.Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统. 本文详细介绍了BT5中安装snrot NIDS并实现与iptables防火墙联动的过程.

六:入侵检测技术实战

入侵检测技术可实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动,在系统受到危害前发出警告,对攻击做出实时的响应,并提供补救措施,最大程度地保障系统安全. 6.1 入侵检测概述 所谓入侵检测是指试图监视和尽可能阻止有害信息的入侵,或其他能够对用户的系统和网络资源产生危害的行为.简单地 说,它是这样工作的:用户有一个计算机系统,它与网络连接着,也许也同互联网连接.由于一些原因,允许网络上的授权用户访问该计算机.比如说,有一个连接 着互联网的Web服务器,允许自己的客户.员

植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案 http://netkiller.github.io/journal/security.implants.html Mr. Neo Chen (陈景峰), netkiller, BG7NYT 中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113668890 +86 755 29812080 <[email protected]> 版权 ? 2014 http://netkiller.github.io 版权声明 转载请与作者联系,转载时请务必标

Tiger –UNIX:一款开源安全审计 入侵检测工具

Tiger 是一个完全由shell脚本编写的UNIX的免费.开源安全工具,适用于安全审计和入侵检测. Tiger的特性: 1)模块化设计,使得它扩展性比较强, 2)多用途,可用于主机审计和入侵检测. Tiger的优点: 从目前来说,在网络上有很多免费的入侵检测工具,检测方面也囊括了多个层面,目前主要的检测方面如下, 1)网络层面的入侵检测 2)Linux内核补丁入侵检测,例如像LIDS(作为内核补丁和系统管理员工具)或者是linux事件日志查看器等) 3)文件完整性检查工具(如aide,inte

如何在CentOS上配置基于主机的入侵检测系统?

任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性. AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统.AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配 置文件的完整性,这些文件属性包括权限.文件类型.索引节点(inode).链接数量.链接名称.用户.用户组.文件大小.块计数.修改时间.访问时间. 创建时间.访问控制列表(acl).SELinux安全上下文.xattrs以及md5/s