Linux系统服务器被黑检查流程及方法(如何检查Linux系统是否被黑)

1、检查进程 (1)输入top,shift+p按照cpu排序,查看下是否有异常的进程占用cpu很高。 (2)ps aux | more 检查所有进程,找出不是很常见的进行下排查, 查看到pid后检查proc位置检查下的pi...

1、检查进程

(1)输入top,shift+p按照cpu排序,查看下是否有异常的进程占用cpu很高。

(2)ps aux | more 检查所有进程,找出不是很常见的进行下排查,

查看到pid后检查proc位置检查下的pid路径,找到异常进程的程序文件,kill掉进程,然后删除

2、检查启动项

(1)检查/etc/init.d/目录,有无异常服务

(2)vi /etc/rc.local 查看有无异常启动项

(3)centos可使用chkconfig查看3为on的服务

3、检查计划任务

(1)crontab -l查看有没有被加入异常的计划任务,如果有需要根据文件路径做处理删除

(2)检查/var/spool/cron有无用户的计划任务(部分计划任务是以其他用户添加的)

(3)检查/etc/cron.daily/等下面的计划任务,打开查看下,比如vi /etc/cron.daily/logrotate

黑客可以在一些正常的计划任务中添加异常代码,实现异常的启动项
attachments-2020-11-url0mLmy5fc0b1ff0b205.png

cron.d  系统级别的定时任务

cron.daily  系统每天要执行的计划任务

cron.hourly 系统每小时要执行的计划任务

cron.monthly 系统每月要执行的计划任务

cron.weekly   系统每周要执行的计划任务

可以将计划任务文件设定为只读

chattr -R +ia /var/spool/cron/

chattr -R +ia /etc/cron.d 

lsattr 命令可以查看文件属性。chattr -ia 消除属性

4、检查用户和组

(1)查看/etc/passwd下的异常用户

(2)查看/etc/group组中有无异常

(3)检查空口令、uid为0的用户、具有登录权限的用户

使用命令 awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd   查看具有登录权限的用户

使用命令 awk -F: '($3==0)' /etc/passwd    查看UID为0的账号,UID为0的用户会自动切换到root用户,所以危害很大正常只有root

使用命令 awk -F: '($2=="")' /etc/shadow   查看空口令账号,如果存在空口令用户的话必须设置密码

5、检查应用的敏感目录

比如/tmp/ MySQL的运行data目录,检查有没有类似windows路径的文件,检查有没有被注入大量恶意信息 ,如果发现有很多异常的程序,需要删除下(这种一般不容易清理干净,可以进行下备份恢复)

  • 发表于 2020-11-27 16:00
  • 阅读 ( 2529 )
  • 分类:服务器

0 条评论

请先 登录 后评论
东北大表哥
东北大表哥

自由职业

160 篇文章

作家榜 »

  1. 东北大表哥 160 文章
  2. 小鹄 1 文章
  3. 阿天 0 文章
  4. 新百胜在线 0 文章
  5. 刘明明 0 文章
  6. 个的德3 0 文章
  7. 铂天先生 0 文章
  8. 王达 0 文章