最近在忙服务器上线的事,所以不可避免的要预防系统入侵的方案,所以在学习怎样检查判断自己的系统是否被别人动过.
1.安装个后门监测软件,查查关键文件是否被篡改过
我下了个chkrootkit
安装过程
yum install gcc gcc-c++ make
yum install glibc-static
cd /usr/local/src/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz #也可以去官网手动下载上传服务器
tar zxvf chkrootkit.tar.gz #解压
cd chkrootkit-0.52
make sense
使用:
cd /usr/local/src/chkrootkit
执行 ./chkrootkit | grep INFECTED
如果出现INFECTED则说明有关键文件不合适了,有很大几率是被入侵修改了
在替换了被篡改的文件后,接下来还要进行一步步的检查
1、检查系统密码文件
ls -l /etc/passwd查看文件修改的日期是否正常
2、.awk -F: '$3==0 {print $1}' /etc/passwd检查是否存在其他特权账户,
awk -F: 'length($2)==0 {print $1}' /etc/shadow检查是否存在空口令账户.
3、ps -ef 检查进程是否异常
4、检查是否有异常的远程服务开启
5、输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。
输入netstat -rn,查看本机的路由、网关设置是否正确。
输入 ifconfig -a,查看网卡设置是否异常。
6、.输入last | more检查所有用户的历史记录
输入ps -ef|grep syslogd查询syslog服务是否正常,并将PID替换成以下命令输入
ps -p PID -o lstart 检查上一次syslog启动时间是否正常
输入ls -al /var/log,检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常
7、输入find / -name “.rhosts” –print
find / -name “.forward” –print
检查是否有以rhosts或者以forward结尾的后门文件,判断是否遭到入侵
8、使用ls命令检查常用文件及关键位置文件的完整性
这一系列检查下来就知道是不是被入侵了,到底哪里被人改过了