当前位置: 首页 > news >正文

聊城网站建设信息1v1网站建设

news 2025/10/4 19:44:26
聊城网站建设信息,1v1网站建设,wordpress 发布文章插件,wordpress 2.0Linux入侵排查1.账号安全使用该命令查看是否被添加了新用户,如果有用户说明系统被入侵了,没有新用户则表明没被入侵。cat /etc/passwd | grep /bin/bash接下来要查看密码cat /etc/shadowroot:$y$j9T$QaWe2X7uGqS0np13Ya75h.$B04vYyeCP4YHhhtDKu1p66yTAhK…

Linux入侵排查

1.账号安全

使用该命令查看是否被添加了新用户,如果有用户说明系统被入侵了,没有新用户则表明没被入侵。

cat /etc/passwd | grep /bin/bash

 接下来要查看密码

 cat /etc/shadow

root:$y$j9T$QaWe2X7uGqS0np13Ya75h.$B04vYyeCP4YHhhtDKu1p66yTAhK3V.UDgzeq4:20176:0:99999:7:::

lvv:$6$NVH4GUXyQqbQF0Vb$9k95J8ClpqvEqAGpdjf8KjZcf3zjFHc6alBXUyt5/CLGDlxta7mnIJeK39AJ1mcAzfgGoRbPlP.A81:20176:0:99999:7:::

 入侵排查:

查询特权用户

awk -F: '$3==0{print $1}' /etc/passwd

 查询可以远程登录的帐号信息

 awk '/\$1|\$6/{print $1}' /etc/shadow

 查看除root帐号外,其他帐号是否存在sudo权限。

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

 禁用或删除多余及可疑的帐号
usermod -L user    禁用帐号,帐号无法登录,/etc/shadow 第二栏为 ! 开头
userdel user       删除 user 用户
userdel -r user    将删除 user 用户,并且将 /home 目录下的 user 目录一并删除

 2.查看历史命令

基本使用:

history

 在/etc/profile的文件尾部添加如下行数配置信息

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"

 source /etc/profile 让配置生效,效果如下:

历史操作命令的清除:

history -c


但此命令并不会清除保存在文件中的记录,因此需要手动删除 .bash_profile 文件中的记录。

 3.检查异常端口

使用 netstat 网络连接命令,分析可疑端口、IP、PID

netstat -antlp | more

4. 检查异常进程

使用 ps 命令,分析进程

ps aux | grep pid 

5.检查开机启动项

基本使用:

 排查:

在/etc/下查看启动项rc.d文件,观察是否有特殊的启动项,这里只是查看了rc3.d的启动项。

 6.检查定时任务

列出某个用户cron服务的详细内容

crontab -l  

 

这里没有任务所以显示no crontab for root

还有命令crontab -r   删除每个用户cront任务(谨慎:删除所有的计划任务)

crontab -e   使用编辑器编辑当前的crontab文件 

如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

排查:

重点观察下列的目录是否存在恶意脚本

/var/spool/cron/* 
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

7.检查服务

服务自启动

第一种修改方法:

chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –level  2345 httpd on  开启自启动
chkconfig httpd on (默认level是2345)

第二种修改方法:

修改 /etc/re.d/rc.local 文件  
加入 /etc/init.d/httpd start

第三种修改方法:

使用 ntsysv 命令管理自启动,可以管理独立服务和 xinetd 服务。

8.检查异常文件

8.1  查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性

8.2  得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件

8.3  针对可疑文件可以使用 stat 进行创建修改时间。

 9.检查系统日志

http://www.dtcms.com/a/440609.html

相关文章:

  • 做流量网站logo设计大全
  • 电子商务网站项目建设阶段的划分网络上做假网站做物流
  • 珠海市律师网站建设怎么样网站建设专业课程
  • 公司网站建设推广词网站开发的相关技术
  • 地方网站怎么做的注册公司需要啥资料
  • 网站设计是怎么设计的网站代码优化
  • 替换wordpress后台登录logoseo关键词优化排名外包
  • 网站标题几个字合适龙岩个人小程序开发
  • 如何做的网站手机可以用吗做网站用vs
  • 微网站 服务器东莞服务
  • 手机网站定制开发费用糗事百科网站模板
  • 嘉兴网嘉兴网站建设本科自考有哪些科目
  • 深圳网站建设公司排行互联网企业信息服务平台
  • 一直能打开的网站突然打不开后台管理网站建设
  • 搜索建站郑州春蕾网站建设
  • 不用源码做网站网页设计和网站制作
  • 友点网站建设二级域名站群
  • 关于苏宁易购网站建设的不足之处郑州建站系统在线咨询
  • 网站的设计风格与特点百度广告登录入口
  • 搜索网站的软件有哪些成都管理咨询公司排名
  • 制作网站需要学什么软件有哪些网站设计的设计方案
  • 怎样看网站的建设时间表房地产市场
  • 东莞网站建设开发免费微信网站模板下载工具
  • 建一个购物网站要多少钱公司网页制作选择软件
  • 网络服务商能删除网站网络优化是什么专业
  • 做漫画网站的需求中山网站建设seo135
  • js获取网站htmlandroid安卓版下载
  • wordpress留言页面模版苏州seo怎么做
  • 学做网站需要什么基础新媒体营销总结
  • 凡科建站的怎么取消手机网站遂宁商城网站建设