linux入侵排查

linux入侵检查

windows上的杀毒软件有很多，但是linux上几乎没有杀毒软件，在使用中要避免被入侵，就要求用户多掌握一些知识，个人总结了一些相关知识，分享给大家。

检查当前用户

输入w或者who，就可以看到当前只有一个用户在线，正常情况下只有你一个人登录。

检查网络连接

netstat -anp命令查看当前网络连接

查看22,445,3389,6379等端口是否有连接，connect的外连地址为国外或者各种云厂商，就需要重点关注一下了，可以在微步或者其它情报平台，查询该ip的信息。

如果无法直接从连接情况判定是否为异常连接，可以通过产生该网络连接对应的进程id定位相关文件。如果文件作为脚本文件可直接查看分析文件内容是否存在恶意行为，或者直接上传到virustotal，在线检测。

从netstat获取进程id，ps -ef|grep id定位该进程文件，然后分析文件。

查看进程

ps -ef 查看进程，不是你运行的程序或者是系统自带的都有可能有问题，系统进程可以上网查一下，多查几次就知道了

检查历史命令

.bash_history文件记录了之前输入的命令，检查该记录里是否有不是自己输入过的命令

检查账号

/etc/passwd查看账户信息

检查定时任务

crontab -l

检查登录日志

执行last 或者lastlog查看用户最近登录日志

查看ssh登录日志，关注是否有暴力破解尝试