09
2023
11
20:41:31

Linux入侵检测方法

前言

本文为总结了几种常见的Linux入侵检测方法,参考了csdn中多篇文章,参考链接放在文末。

个人总结

1进程2端口3日志4流量5计划

查看可疑进程

  1. 查看进程数量,运行状态
    命令:top

动态查看进程信息(每三秒更新一次)在这里插入图片描述
2. 查找指定进程
命令:ps aux #列出所有进程。
在这里插入图片描述
3.netstat | ss
单独使用的 ss 命令用于显示已建立的网络连接
ss -tnalp
在这里插入图片描述
4.lsof
查看文件正在被哪个进程使用
lsof /usr/sbin/vsftpd

lsof -i:21 查看端口对应的进程
在这里插入图片描述

查看端口

netstat -p | grep 3306
netstat -anp
显示所有已开放端口

查看日志

系统日志/var/log/messages

动态查看 tail -f /var/log/messages
(tail命令:按照要求将指定的文件的最后部分输出到标准设备;-f 该参数用于监视File文件增长)
在这里插入图片描述

安全日志/var/log/secure

记录了安全信息,系统登录,网络连接等信息
查看远程登录失败日志
cat /var/log/secure |grep Failed
在这里插入图片描述
查看远程登录成功日志
cat /var/log/secure |grep Accepted
在这里插入图片描述

last用户登录信息

last
在这里插入图片描述
lastlog 查看登录日志
lastlog
在这里插入图片描述

last -a -5 查看最后5条
在这里插入图片描述

w 显示谁已登录以及他们正在做什么

在这里插入图片描述

pkill 命令

pkill 命令与 kill、killall 十分相似,都是用于杀死(结束)指定进程的命令。不过 kill 是杀掉单个进程,killall 是杀掉所有同名进程,pkill 是杀掉一类进程或者某个用户的所有进程。
常用方法:
1.杀死所有父进程为指定 ID 的进程。
pkill -9 | -KILL | -SIGKILL -P 5323
2.杀死终端 1 下的所有进程。
pkill -t pts/1
3.杀死指定用户的所有进程。
pkill -9 -u alice

计划任务

注意查看是否被恶意改动
使用crontab命令调用crond进程
crontab -l 查看计划任务
在这里插入图片描述

crontab -e 编辑计划任务
crontab -r 删除计划任务
tail -5 /var/log/cron 查看计划任务日志
在这里插入图片描述

防止日志被恶意删除

使用chattr +a,命令给文件加上a属性:
a 属性, 文件只能增加内容不能减少内容, 不能删除文件;
chattr +a 只能追加,不能删除或减少内容
chattr +a /var/log/secure
lsattr /var/log/secure

查看启动时默认加载文件

/etc/rc.local
cat /etc/rc.local

在这里插入图片描述

查看异常流量

iftop动态查看网卡接口流量

iftop是实时流量监控工具,可以用来监控网卡的实时流量
iftop -p 查看端口和主机
在这里插入图片描述

文件完整性检查

rpm -V 查看是否被修改

查看程序是否被改动过(改动过有输出信息)

在这里插入图片描述
查看文件是否被改动过
rpm -Vf /etc/ssh/sshd_config
在这里插入图片描述

参考链接

https://blog.csdn.net/K346K346/article/details/127573349
https://blog.csdn.net/gxy_learning/article/details/122005157
https://blog.csdn.net/sdyu_peter/article/details/106864344




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4522.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Linux | 浏览:438 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: