linux入侵检查
windows上的杀毒软件有很多,但是linux上几乎没有杀毒软件,在使用中要避免被入侵,就要求用户多掌握一些知识,个人总结了一些相关知识,分享给大家。
检查当前用户
输入w或者who,就可以看到当前只有一个用户在线,正常情况下只有你一个人登录。
检查网络连接
netstat -anp命令查看当前网络连接
查看22,445,3389,6379等端口是否有连接,connect的外连地址为国外或者各种云厂商,就需要重点关注一下了,可以在微步或者其它情报平台,查询该ip的信息。
如果无法直接从连接情况判定是否为异常连接,可以通过产生该网络连接对应的进程id定位相关文件。如果文件作为脚本文件可直接查看分析文件内容是否存在恶意行为,或者直接上传到virustotal,在线检测。
从netstat获取进程id,ps -ef|grep id定位该进程文件,然后分析文件。
查看进程
ps -ef 查看进程,不是你运行的程序或者是系统自带的都有可能有问题,系统进程可以上网查一下,多查几次就知道了
检查历史命令
.bash_history文件记录了之前输入的命令,检查该记录里是否有不是自己输入过的命令
检查账号
/etc/passwd查看账户信息
检查定时任务
crontab -l
检查登录日志
执行last 或者lastlog查看用户最近登录日志
查看ssh登录日志,关注是否有暴力破解尝试
网友评论