| 要查找linux系統(tǒng)入侵證據(jù),可從如下幾個方面入手: 1.last,lastlog命令可查看最近登錄的帳戶及時間 2./var/log/secure , /var/log/messages日志信息可以通過accept關(guān)鍵字查看系統(tǒng)是否有被可疑IP地址登錄成功信息。 3.用戶任務計劃,文件/var/spool/cron/tabs/用戶,某些黑客會將后門程序,病毒設(shè)置為計劃任務,定時執(zhí)行 4.幾個經(jīng)常被放置木馬,病毒的目錄,/tmp, /var/tmp, /dev/shm由于這些目錄都設(shè)置了SBIT,即所有用戶都可讀,可寫,可執(zhí)行。并且在訪問這些目錄的同時擁有root權(quán)限,所以即使黑客沒有拿到root權(quán)限,在這些目錄上傳病毒,木馬是非常方便的 5.通過時間來查找,find / -ctime n n為指定的時間,可通過上述找到的信息,綜合判斷,然后選取時間點,查找在那個時間點創(chuàng)建的文件。比如2天前的24小時內(nèi),就可用find / -ctime 2 > /tmp/file.log (如果不想刷屏,可重定向到文件) 6.各類服務日志,比如apache日志: $APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log |
免責聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學習與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務,與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
