检查linux是否被入侵

是否安装gcc gcc-c++ make

yum install -y gcc gcc-c++ make

官方网站为 http://www.chkrootkit.org

解压:tar zxf chkrootkit.tar.gz

cd chkrootkit

make sense

检查脚本:

#!/bin/bash

chkrootkit_log=`mktemp`

chkrootkit > $chkrootkit_log

infected=`grep -i "infected" $chkrootkit_log |grep -v "not infected"`

[ ! -z "$infected" ] && echo "$infected"

rm -f $chkrootkit_log

时间: 2024-10-09 16:41:05

检查linux是否被入侵的相关文章

11个审查Linux是否被入侵的方法

11个审查Linux是否被入侵的方法 一.检查系统日志 lastb命令 检查系统错误登陆日志,统计IP重试次数 二.检查系统用户 1.cat /etc/passwd 查看是否有异常的系统用户 2.grep "0" /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 3.ls -l /etc/passwd 查看passwd的修改时间,判断是否在不知的情况下添加用户 4.查看是否存在特权用户 awk -F: '$3= =0 {print $1}' /etc/passwd

检查 Linux 服务器性能

如何用十条命令在一分钟内检查 Linux 服务器性能 如果你的Linux服务器突然负载暴增,报警短信快发爆你的手机,如何在最短时间内找出Linux性能问题所在?来看Netflix性能工程团队的这篇博文,看它们通过十条命令在一分钟内对机器性能问题进行诊断. 概述 通过执行以下命令,可以在1分钟内对系统资源使用情况有个大致的了解. uptime dmesg | tail vmstat 1 mpstat -P ALL 1 pidstat 1 iostat -xz 1 free -m sar -n DE

检查Linux服务器性能的关键十条命令

检查Linux服务器性能的关键十条命令 概述 通过执行以下命令,可以在1分钟内对系统资源使用情况有个大致的了解. uptime dmesg | tail vmstat 1 mpstat -P ALL 1 pidstat 1 iostat -xz 1 free -m sar -n DEV 1 sar -n TCP,ETCP 1 top 其中一些命令需要安装sysstat包,有一些由procps包提供.这些命令的输出,有助于快速定位性能瓶颈,检查出所有资源(CPU.内存.磁盘IO等)的利用率(uti

linux系统被入侵后处理实战

Linux系统被入侵后处理实战 事件背景: 操作系统:centos6.5 运行业务:公司业务系统,爬虫程序,数据队列 服务器托管在外地机房 事件起因: 突然频繁收到一组服务器ping监控不可达邮件,通过zabbix监控系统中,发现流量超高,达到了800M,发现不正常,马上尝试ssh登录系统,不幸的是,这种情况是很难登录系统的. 处理过程: 当时第一反应是想马上切断外部网络,通过内网连接查看 可是这样一来流量就会消失,也就很难查找攻击源了,于是联系机房协助解决,授权机房技术登录到系统: 1.检测系

Linux -- 利用IPS(入侵防御系统) 构建企业Web安全防护网

一.IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的攻击进行过滤.这样一个两级的过滤模式,可以最大地保证系统的安全.在 一些专业的机构,或对网络安全要求比较高的地方,IPS和其他审计跟踪产品结合,可以提 供针对网络信息资源全面的审计资料,这些资料对于攻击还原.入侵取证.异常事件识别. 网络故障排除等等都有很重要的作用. 作为串接部署的设备,IPS必须要确保用户业务不受影响,错误的阻断必定意味

检查linux是否安装java、tomcat、mysql

linux下,查看安装软件 1.linux下的java Java -version 如果出现java版本,证明java安装成功. 2.linux下的tomcat 2.1.检查linux是否安装tomcat rpm -qa|grep tomcat 2.2.tomcat的路径 一般是/usr/local/tomcat6 3.检查linux是否安装mysql 3.1.说明 usr/bin/MySQL 是指:mysql的运行路径   var/lib/mysql 是指:mysql数据库文件的存放路径  

如何检查linux服务器是否被入侵

当服务器被没有经验攻击者或者自动攻击程序入侵了的话,他们往往会消耗 100% 的资源.他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件,也可能消耗带宽来发动 DoS 攻击. 因此出现问题的第一个表现就是服务器 “变慢了”.这可能表现在网站的页面打开的很慢,或者电子邮件要花很长时间才能发送出去. 那么你应该查看那些东西呢? 检查 1 - 当前都有谁在登录? 你首先要查看当前都有谁登录在服务器上.发现攻击者登录到服务器上进行操作并不复杂. 其对应的命令是 w.运行 w 会输出如下结果:

Linux主机被入侵后的处理案例

一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式. 1.受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断了此服务器的网络.此服务器是Centos5.5版本,对外开放了80.22端口.从客户那里了解到,网站的访问量并不大,所以带宽占用也不会太高,而耗尽100M的带宽是绝对不可能的,

linux 系统被入侵之后你要做什么

linux系统的服务器被入侵,总结了以下的基本方法 首先先用iptraf查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门 1. 检查帐户 # less /etc/passwd # grep :0: /etc/passwd(检查是否产生了新用户,和UID.GID是0的用户) # ls -l /etc/passwd(查看文件修改日期) # awk -F: '$3= =0 {print $1}' /etc/passwd(查看是否存在