linux系统的服务器被入侵了怎么办,下面是总结的方法,可以供大家参考:
首先先用iptraf查下,如果没装的运行yuminstalliptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门
1、检查帐户
#less/etc/passwd
#grep:0:/etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)
#ls-l/etc/passwd(查看文件修改日期)
#awk-F:‘$3==0{print$1}’/etc/passwd(查看是否存在特权用户)
#awk-F:‘length($2)==0{print$1}’/etc/shadow(查看是否存在空口令帐户)
2、检查日志
#last(查看正常情况下登录到本机的所有用户的历史记录)
注意”enteredpromiscuousmode”
注意错误信息
注意RemoteProcedureCall(rpc)programswithalogentrythatincludesalargenumber(>20)strangecharacters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
3、检查进程
#ps-aux(注意UID是0的)
#lsof-ppid(察看该进程所打开端口和文件)
#cat/etc/inetd.conf|grep-v“^#”(检查守护进程)
检查隐藏进程
#ps-ef|awk‘{print}’|sort-n|uniq>1
#ls/porc|sort-n|uniq>2
#diff12
4、检查文件
#find/-uid0–perm-4000–print
#find/-size+10000k–print
#find/-name“…”–print
#find/-name“..”–print
#find/-name“.”–print
#find/-name””–print
注意SUID文件,可疑大于10M和空格文件
#find/-namecore-execls-l{};(检查系统中的core文件)
检查系统文件完整性
#rpm–qf/bin/ls
#rpm-qf/bin/login
#md5sum–b文件名
#md5sum–t文件名
5、检查RPM
#rpm–Va
输出格式:
S–Filesizediffers
M–Modediffers(permissions)
5–MD5sumdiffers
D–Devicenumbermismatch
L–readLinkpathmismatch
U–userownershipdiffers
G–groupownershipdiffers
T–modificationtimediffers
注意相关的/sbin,/bin,/usr/sbin,and/usr/bin
6、检查网络
#iplink|grepPROMISC(正常网卡不该在promisc模式,可能存在sniffer)
#lsof–i
#netstat–nap(察看不正常打开的TCP/UDP端口)
#arp–a
7、检查计划任务
注意root和UID是0的schedule
#crontab–uroot–l
#cat/etc/crontab
#ls/etc/cron.*
8、检查后门
#cat/etc/crontab
#ls/var/spool/cron/
#cat/etc/rc.d/rc.local
#ls/etc/rc.d
#ls/etc/rc3.d
#find/-typef-perm4000
9、检查内核模块
#lsmod
10、检查系统服务
#chkconfig
#rpcinfo-p(查看RPC服务)
11、检查rootkit
#rkhunter-c
#chkrootkit-q
