也想出现在这里? 联系我们

Linux入侵检测基础学习

作者 : 小编 本文共2282个字,预计阅读时间需要6分钟 发布时间: 2021-06-15 共4.93K人阅读
也想出现在这里? 联系我们

一、审计命令

在linux中有5个用于审计的命令:

last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出。who:这个命令用户查看当前登录系统的情况;这个命令就是将/var/log/utmp文件格式化输出。w:与who命令一致。

关于它们的使用:man last,last与lastb命令使用方法类似:

bash/shell Code复制内容到剪贴板
  1. last[-R][-num][-nnum][-adFiowx][-ffile][-tYYYYMMDDHHMMSS][name…][tty…]
  2. lastb[-R][-num][-nnum][-ffile][-adFiowx][name…][tty…]
  3. who[OPTION]…[FILE|ARG1ARG2]

参数说明:

查看系统登录情况last:不带任何参数,显示系统的登录以及重启情况p1

只针对关机/重启使用-x参数可以针对不同的情况进行查看p2

只针对登录使用-d参数,并且参数后不用跟任何选项p3

显示错误的登录信息lastb

查看当前登录情况who、w

二、日志查看

在Linux系统中,有三类主要的日志子系统:

1、连接时间日志: 由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。(utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中; 登录进入和退出记录在文件wtmp中; 数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。)

2、进程统计: 由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。

3、错误日志: 由syslogd(8)守护程序执行,各种系统守护进程、用户程序和内核通过syslogd(3)守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

日志目录:/var/log(默认目录)

查看进程日志cat /var/log/messagesp4

查看服务日志cat /var/log/maillogp5

三、用户查看

Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录;

查看详细

less /etc/passwd:查看是否有新增用户grep :0 /etc/passwd:查看是否有特权用户(root权限用户)ls -l /etc/passwd:查看passwd最后修改时间awk -F: ‘$3==0 {print $1}’ /etc/passwd:查看是否存在特权用户awk -F: ‘length($2)==0 {print $1}’ /etc/shadow:查看是否存在空口令用户

注:linux设置空口令:passwd -d username

四、进程查看

1、普通进程查看进程中我们一般使用ps来查看进程;man psps -aux:查看进程lsof -p pid:查看进程所打开的端口及文件

2、检查隐藏进程ps -ef | awk ‘{print }’ | sort -n | uniq >1ls /proc | sort -n |uniq >2diff 1 2

注:以上3个步骤为检查隐藏进程

五、其他检查

1、检查文件find / -uid 0 -print:查找特权用户文件find / -size +10000k -print:查找大于10000k的文件find / -name “…” -prin:查找用户名为…的文件find / -name core -exec ls -l {} \\;:查找core文件,并列出详细信息md5sum -b filename:查看文件的md5值rpm -qf /bin/ls:检查文件的完整性(还有其它/bin目录下的文件)

2、检查网络ip link | grep PROMISC:正常网卡不应该存在promisc,如果存在可能有snifferlsof -inetstat -nap:查看不正常端口arp -a:查看arp记录是否正常

3、计划任务crontab -u root -l:查看root用户的计划任务cat /etc/crontabls -l /etc/cron.*:查看cron文件是变化的详细ls /var/spool/cron/

检查后门对于linux的后门检查,网络上有一些公开的工具,但是在不使用这些工具的前提时,我们可以通过一些命令来获取一些信息。首先就是检测计划任务,可以参考上面;第二:查看ssh永久链接文件:vim $HOME/.ssh/authorized_keys第三:lsmod:检查内核模块第四:chkconfig –list/systemctl list-units –type=service:检查自启第五:服务后门/异常端口(是否存在shell反弹或监听)其它:ls /etc/rc.dls /etc/rc3.d

以上就是针对Linux入侵检测基础知识学习,希望对大家的学习有所帮助。

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » Linux入侵检测基础学习

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录