Linux安全检测常用方法

chkrootkit | grep INFECTED

! User 24306 pts/0  grep INFECTED

查找指定的tty进程:ps aux | grep pts/0

rkhunter

rkhunter --check   检测。出现红色的警告信息,请仔细检测是否已经中招了。

查看产生的日志:cat /www.qixoo.qixoo.com/var/log/rkhunter.log | grep Warning

技术分享

自动发送报告
每天5点检测并发送通知邮件

crontab -e
* 5 * * * /usr/local/rkhunter/bin/rkhunter --cronjob -l --nomow --rwo | mail -s "[rkhunter] report `hostname` `date`"

4.升级rkhunter:# rkhunter --update

# ss -l  列出所有打开的网络连接端口
# ss -pl 查看进程使用的socket

 找出与 crypto 与 bash 这两个服务有关的 PID 号码

 ps aux | egrep ‘(cron|syslog)‘

配合 lsof检测

lsof -i :22

  lsof filename         显示打开指定文件的所有进程
  lsof -a             表示两个参数都必须满足时才显示结果
  lsof -c string         显示COMMAND列中包含指定字符的进程所有打开的文件
  lsof -u username       显示所属user进程打开的文件
  lsof -g gid           显示归属gid的进程情况
  lsof +d /DIR/         显示目录下被进程打开的文件
  lsof +D /DIR/          同上,但是会搜索目录下的所有目录,时间相对较长
  lsof -d FD           显示指定文件描述符的进程
  lsof -n             不将IP转换为hostname,缺省是不加上-n参数
  lsof -i             用以显示符合条件的进程情况

抓包i进行网络行为分析

使用抓包命令查看本机攻击的程序
1
    
tcpdump -i eth1 dst xxx.xxx.xxx.xxx

kill 终止进程

有十几种控制进程的方法,下面是一些常用的方法:
kill -STOP [pid]
发送SIGSTOP (17,19,23)停止一个进程,而并不消灭这个进程。
kill -CONT [pid]
发送SIGCONT (19,18,25)重新开始一个停止的进程。
kill -KILL [pid]
发送SIGKILL (9)强迫进程立即停止,并且不实施清理操作。
kill -9 -1
终止你拥有的全部进程。
SIGKILL 和 SIGSTOP 信号不能被捕捉、封锁或者忽略,但是,其它的信号可以。所以这是你的终极武器。

用Shell Script编写一段脚本,通过这个脚本让chkrootkit的监测自动化。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中。

[ ~]# vi mychkrootkit  ← 建立chkrootkit自动运行脚本

#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# Run the chkrootkit
/usr/local/chkrootkit/chkrootkit > $TMPLOG
# Output the log
cat $TMPLOG | logger -t chkrootkit
# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i ‘/465/d‘ $TMPLOG
fi
# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG

一些小工具:

IPTraf-实时局域网IP监控
Htop – Linux进程监控
VnStat PHP – 网络流量监控
Suricata – 网络安全监控
iotop – 简单的类似top的I/O监控器

Vnstat

#初始化,绑定要监测的网卡的名称,比如eth0
vnstat -u -i eth0
vnstat

相关链接

监控 Linux 性能的 18 个命令行工具: http://os.51cto.com/art/201402/429890.htm

Linux下10个使用lsof命令的例子: http://www.tecmint.com/10-lsof-command-examples-in-linux/

http://m.2cto.com/os/201606/517821.html

时间: 2024-10-10 01:09:23

Linux安全检测常用方法的相关文章

【Linux 入侵检测】

检查linux系统是否被入侵或者中毒的步骤? 一.检查操作系统 (1)检查带宽,查看网卡流量 (2)检查系统登录登出日志,安全日志,和/etc/passwd是否被修改过 (3)查看系统是否存在异常进程: pwdx -- 查看进程的路径: lsof  --  查看系统打开的库文件 百度异常进程的名字 (4)查看开机启动服务和定时任务: /etc/rc.local 和 crontab –l (5)分析系统日志 二.检查应用是否存在漏洞,检查应用的版本信息(日志和进程) 三.常用的入侵检测工具 PSA

linux死锁检测的一种思路【转】

转自:http://blog.csdn.net/zdy0_2004/article/details/44652323 linux死锁检测的一种思路 http://www.cnblogs.com/mumuxinfei/p/4365697.html 前言: 上一篇博文讲述了pstack的使用和原理. 和jstack一样, pstack能获取进程的线程堆栈快照, 方便检验和性能评估. 但jstack功能更加的强大, 它能对潜在的死锁予以提示, 而pstack只提供了线索, 需要gdb进一步的确定. 那

Linux系统性能检测工具

忙里偷闲浏览网站,看到了一些不错的Linux性能检测工具.担心以后忘记在这里做个记录.如有错误的地方,或者不足,以及平时用的不多,但是很给力的工具还请看到此博文的同志们多多提建议.谢谢! dstat 工具 说明:dastat 此软件小巧玲珑,软件包大小只有144k,安装大小660k.此工具默认情况下会动态显示----total-cpu-usage---- -dsk/total- -net/total- ---paging-- ---system--负载情况.(看我上的图) 1.安装dstat y

linux下检测端口是否连通

检测tcp端口使用telnet命令 telnet 例:telnet 192.168.0.1 80 检测udp端口使用uc命令 uc -zu 例:uc -zu 192.169.0.1 80 以上命令在CentOS 6.2 64位下测试通过 bash: fork: Resource temporarily unavailable http://blog.csdn.net/jlds123/article/details/9146865 http://smilejay.com/2012/04/fork_

[Linux 性能检测工具]TOP

TOP NAME 显示linux任务 语法 top -hv | -abcHimMsS -d delay -n iterations -p pid [, pid ...] 描述 top程序提供了系统实时信息,显示系统的总体信息和一组由内核管理的任务,系统总体信息的类型,和任务列表上类型,顺序和大小信息,都可以由用户配置,重启机制就有效. 提供了有限的一些交互接口让用户配置,涵盖了操作的每个方面.当top引用这个文件,可以随意命名top程序,然后当读写一个配置文件的时候新的名称会被引用到top的显示

Linux上检测硬盘上的坏道和坏块

                            Linux上检测硬盘上的坏道和坏块 让我们从坏道和坏块的定义开始说起,它们是一块磁盘或闪存上不再能够被读写的部分,一般是由于磁盘表面特定的物理损坏或闪存晶体管失效导致的. 磁盘坏道分为三种: 0磁道坏道,逻辑坏道,硬盘坏道. 其中逻辑坏道可以使用上面的方法修复,0磁道坏道的修复方法是隔离0磁道,使用fdsk划分区的时候从1磁道开始划分区.如果是硬盘坏道的话,只能隔离不能修复.硬盘坏道的监测方法:使用上述方法检测修复后,再使用badblock

Linux 性能检测工具Vmstat命令

Linux 性能检测工具Vmstat命令提供了对进程.内存.页面I/O块和CPU等信息的监控,vmstat可以显示检测结果的平均值或者取样值,取样模式可以提供一个取样时间段内不同频率的监测结果. Linux 性能检测工具Vmstat命令process(procs)r:等待运行时间的进程数量b:处在不可中断睡眠状态的进程w:被交换出去但是仍然可以运行的进程,这个值是计算出来的 ·Linux 性能检测工具Vmstat命令memoryswpd:虚拟内存的数量free:空闲内存的数量buff:用做缓冲区

(笔记)Linux下检测网卡与网线连接状态

http://blog.chinaunix.net/space.php?uid=20357359&do=blog&cuid=1798479 Linux下检测网卡与网线连接状态,使用ioctl向socket发送SIOCETHTOOL命令字. #include <stdio.h> #include <stdlib.h> #include <string.h> #include <fcntl.h> #include <errno.h>

Linux下检测IP地址冲突及解决方法

Linux下检测IP地址冲突及解决方法 问题说明: 在公司办公网内的一台物理机A上安装了linux系统(ip:192.168.9.120),在上面部署了jenkins,redmine,svn程序.由于是在办公网内,这台机器和同事电脑都是在同一网段的. 突然某天问题出来了:有部分同事远程ssh登陆不上这台linux系统的机器,jenkins/redmine/svn也登陆不上,其他部分同事可以正常使用. 后来发现,是因为这台linux机器的ip被人占用了,ip地址冲突引起的!! 下面介绍下检查ip地