如何识别自己的主机是否被入侵过

发布于 2022-08-29 21:18:12 字数 51 浏览 33 评论 0

最近bash的漏洞影响很广,我想知道一般情况下,怎么检查自己的服务器是否有被入侵过?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

归属感 2022-09-05 21:18:12
  1. 检查 last 命令中最近登录的时间和 IP, 但是这个记录非常容易被伪造,如果入侵者进来之后下载了一些数据(比如数据库)然后清除了记录,那么你也拿他没办法,所以下面也不讨论这种情况。

  2. 检查进程列表,有没有不认识进程,检查 netstat -lnp 有没有不认识的进程。PS: 进行此项检查前请确认 ps 和 netstat 未被替换。

  3. 检查 crontab, crond, atd, rc, initscript, systemd 的配置文件,看看有没有不认识的自启动项。PS: 进行此项检查之前请确认 cat/vi 或其他编辑器未被替换。

  4. 用包管理器检查已安装的软件包中有没有被新增、删除、篡改的文件(见 http://blog.rimuhosting.com/2011/10/12/checking-a-potentially-hacked-machine-and-reinstalling-packages-when-you-break-things/). PS: 进行此项检查前请先确认包管理器没有被替换。

  5. 检查所有帐号的密码和用户组设置,和 ~/.ssh/authorized_keys; 检查 /etc/sudoers.

以上是一个初始安装的 Linux 的情况,如果你安装了其他软件,可能还要针对性地做检查。

墨小墨 2022-09-05 21:18:12

1 在终端里敲last命令,可以查看主机最近几次的登录时间,IP和登录的用户。如果里面有你不认识的IP,那么很不幸可能你的终端被入侵了。

2 查看你的服务器的access_log,如果里面有同一IP的大量访问信息,或者是一些比较奇怪的URL(这种情况也可能是有爬虫在爬你的网站),那么可能你的终端被入侵了。

3 最近这个bash漏洞,入侵者可能不大能拿到root权限,拿到的权限应该是类似www用户的一类权限,所以它能够做的就看一些你的配置文件等等。所以针对这种情况,你可以看一下你的诸如httpd.conf一类的配置文件的最近访问时候等。
关于漏洞的原理可以参照下这篇文章

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文