(100分)请教Linux系统除了看系统日志外,还有啥别的办法用来检测系统有没有被入侵的迹象呢?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(100分)请教Linux系统除了看系统日志外,还有啥别的办法用来检测系统有没有被入侵的迹象呢?相关的知识,希望对你有一定的参考价值。

(100分)请教Linux系统除了看系统日志外,还有什么别的办法用来检测系统有没有被入侵的迹象呢?

(详细的话加分!)

可以看看 chkrootkit lsof 啥地一些工具. 详细分析一下系统的情况.
一般都能找到与正常的系统不一样的地方. 如果能找到相同版本的另一台系统进行对比也是不错的办法.

对系统文件(可执行)进行md5,sha校验啥地. 安装了prelink环境的还不能直接用 md5sum这类的工具来查看.

现在被入侵的系统往往都会被篡改很多位置.被安装了 rootkit啥地. 发现被入侵的话建议原来的系统就不要用了. 找到存在的漏洞,问题后. 把应用迁移到没有问题的新系统上去.
参考技术A 1) 查看历史记录: history
2) # cat /etc/password | grep :x:0 检查一下passwd文件中有哪些特权用户
3) ls –l /etc/passwd查看文件修改的日期
4) ps –aef grep inetd 查看一下进程,看看有没有奇怪的进程
5) 检查网络连接和监听端口
输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。
  输入netstat –rn,查看本机的路由、网关设置是否正确。
  输入 ifconfig –a,查看网卡设置
参考技术B 麻烦。只能观看网络端口信息跟防火墙,其实在防火墙设置得严密,跟自己不用的端口封闭,基本就没超级黑侠去入侵你,就算有,多数都是自己引贼入室,就是上有木马网站而被入侵。 参考技术C 可以观察网络端口的主动连接日志条目 参考技术D /var/log/secure 下看看有什么特别的登录信息,或者很多尝试登录的信息 第5个回答  2012-09-23 不清楚

以上是关于(100分)请教Linux系统除了看系统日志外,还有啥别的办法用来检测系统有没有被入侵的迹象呢?的主要内容,如果未能解决你的问题,请参考以下文章

Linux系统快捷键使用

Linux系统快捷键使用

linux系统的进程间通信有哪几种方式

linux系统的进程间通信有哪几种方式

linux怎么查看mysql的binlog日志存放的位置?

linux操作系统/var/log/里的messages日志内容是啥问题?