[关闭]
@Dukebf 2017-07-12T00:05:23.000000Z 字数 1191 阅读 1322

linux 入侵审计基础

linux 审计


前人轮子:
Linux 入侵检测基础

审计命令

linux中有5个用于审计的命令:

日志查看

在Linux中,有三类主要的日志子系统:
日志文件基本都存在/var/log/目录中.

进程查看

  1. 普通进程查看,ps命令.
    • ps -aux : 查看进程
    • lsof -p pid : 查看进程所打开的端口及文件

2.查看隐藏线程

ps -ef | awk {print} sort -n | uniq > 1
ls /proc | sort -n | uniq > 2
diff 1 2

其他检查

  1. 检查文件

    • find / -uid 0 -print :查找特权用户文件
    • find / -size + 10000k -print : 查找大于10000k的文件
    • find / -name "..." -print : 查找用户名为...的文件
    • find / -name core -exec ls -l {} \; : 查找core文件,并列出详细信息
    • md5sum -b finlname : 查看文件的md5值
  2. 查看网络

    • ip link | grep PROMISC : 正常网卡中不应该存在promisc,如果存在可能右sniffer
    • lsof -l 列出所有进程打开的文件
    • netstat -nap: 查看不正常端口
    • arp -a : 查看arp记录是否正常
  3. 计划任务

    • crontab -u root -l : 查看root用户的计划任务
    • cat /etc/crontab
    • ls -l /etc/cron.* : 查看cron文件变化的详细
    • ls /var/spool/cron/
添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注