(100分)请教Linux系统除了看系统日志外,还有啥别的办法用来检测系统有没有被入侵的迹象呢?

Posted 2023-02-22

(100分)请教Linux系统除了看系统日志外,还有什么别的办法用来检测系统有没有被入侵的迹象呢?

(详细的话加分!)

可以看看 chkrootkit lsof 啥地一些工具. 详细分析一下系统的情况.
一般都能找到与正常的系统不一样的地方. 如果能找到相同版本的另一台系统进行对比也是不错的办法.

对系统文件(可执行)进行md5,sha校验啥地. 安装了prelink环境的还不能直接用 md5sum这类的工具来查看.

现在被入侵的系统往往都会被篡改很多位置.被安装了 rootkit啥地. 发现被入侵的话建议原来的系统就不要用了. 找到存在的漏洞,问题后. 把应用迁移到没有问题的新系统上去. 参考技术A 1) 查看历史记录： history
2) # cat /etc/password | grep :x:0 检查一下passwd文件中有哪些特权用户
3） ls –l /etc/passwd查看文件修改的日期
4） ps –aef grep inetd 查看一下进程，看看有没有奇怪的进程
5） 检查网络连接和监听端口
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。
　　输入netstat –rn，查看本机的路由、网关设置是否正确。
　　输入 ifconfig –a，查看网卡设置 参考技术B 麻烦。只能观看网络端口信息跟防火墙，其实在防火墙设置得严密，跟自己不用的端口封闭，基本就没超级黑侠去入侵你，就算有，多数都是自己引贼入室，就是上有木马网站而被入侵。 参考技术C 可以观察网络端口的主动连接日志条目 参考技术D /var/log/secure 下看看有什么特别的登录信息，或者很多尝试登录的信息 第5个回答  2012-09-23 不清楚