Loading
0

Linux系统服务器被黑检查流程及方法(如何检查Linux系统是否被黑)

1、检查进程

(1)输入top,shift+p按照cpu排序,查看下是否有异常的进程占用cpu很高。

(2)ps aux | more 检查所有进程,找出不是很常见的进行下排查,

查看到pid后检查proc位置检查下的pid路径,找到异常进程的程序文件,kill掉进程,然后删除

2、检查启动项

(1)检查/etc/init.d/目录,有无异常服务

(2)vi /etc/rc.local 查看有无异常启动项

(3)centos可使用chkconfig查看3为on的服务

3、检查计划任务

(1)crontab -l查看有没有被加入异常的计划任务,如果有需要根据文件路径做处理删除

(2)检查/var/spool/cron有无用户的计划任务(部分计划任务是以其他用户添加的)

(3)检查/etc/cron.daily/等下面的计划任务,打开查看下,比如vi /etc/cron.daily/logrotate

黑客可以在一些正常的计划任务中添加异常代码,实现异常的启动项image.png

cron.d  系统级别的定时任务

cron.daily  系统每天要执行的计划任务

cron.hourly 系统每小时要执行的计划任务

cron.monthly 系统每月要执行的计划任务

cron.weekly   系统每周要执行的计划任务

可以将计划任务文件设定为只读

chattr -R +ia /var/spool/cron/

chattr -R +ia /etc/cron.d 

lsattr 命令可以查看文件属性。chattr -ia 消除属性

4、检查用户和组

(1)查看/etc/passwd下的异常用户

(2)查看/etc/group组中有无异常

(3)检查空口令、uid为0的用户、具有登录权限的用户

使用命令 awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd   查看具有登录权限的用户

使用命令 awk -F: '($3==0)' /etc/passwd    查看UID为0的账号,UID为0的用户会自动切换到root用户,所以危害很大正常只有root

使用命令 awk -F: '($2=="")' /etc/shadow   查看空口令账号,如果存在空口令用户的话必须设置密码

5、检查应用的敏感目录

比如/tmp/ MySQL的运行data目录,检查有没有类似windows路径的文件,检查有没有被注入大量恶意信息 ,如果发现有很多异常的程序,需要删除下(这种一般不容易清理干净,可以进行下备份恢复)

声明:站长码字很辛苦啊,转载时请保留本声明及附带文章链接:http://blog.tag.gg/showinfo-3-35838-0.html
上一篇:宝塔面板升级卡死通过命令升级解决方法
下一篇:宝塔面板登录后台一直提示:正在登录...的解决方法(500报错)