linux侵入検出
5818 ワード
詳細
一、システムログを検査する
二、検査システムユーザー
三、異常プロセスの検査
四、異常システムファイルを検査する
五、システムファイルの完全性を検査する
六、ネットワークを検査する
七、検査システム計画任務
八、検査システムの裏口
九、検査システムサービス
十、rootkitを検査する
linux侵入検出ツール
1,AIDE
2,RKHunter
一、システムログを検査する
lastb // , IP
二、検査システムユーザー
1、cat /etc/passwd //
2、grep "0" /etc/passwd // ,UID GID 0
3、ls -l /etc/passwd // passwd ,
4、awk -F : '$3==0 {print $1}' /etc/passwd //
5、awk -F : 'length($2)==0 {print $1}' /etc/shadow //
三、異常プロセスの検査
//1、 UID 0
ps -ef
//2、
lsof -p pid
//3、
ps -ef | awk '{print }' | sort -n | uniq >1
ls /proc |sort -n|uniq >2
diff 1 2
四、異常システムファイルを検査する
find / -uid 0 –perm -4000 –print
find / -size +10000k –print
find / -name '...' -print
find / -name '.. ' -print
find / -name '. ' -print
find / -name ' ' -print
五、システムファイルの完全性を検査する
rpm -qf /bin/ls
rpm -qf /bin/login
md5sum –b
md5sum –t
六、ネットワークを検査する
ip link | grep PROMISC //( promisc , sniffer)
lsof –i
netstat -anp //( TCP/UDP )
ss
arp -a
七、検査システム計画任務
crontab -u root -l
cat /etc/crontab
ls /etc/cron.*
八、検査システムの裏口
cat /etc/crontab
ls /var/spool/cron/
cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d
九、検査システムサービス
chkconfig --list
rpcinfo -p( RPC )
十、rootkitを検査する
rkhunter --check //( ,yum install rkhunter)
chkrootkit -q
linux侵入検出ツール
1,AIDE
2,RKHunter