1. 查看服務器當前狀態
系統CPU
CPU降序排序:top
看CPU占用率以及對應行程名稱是否自己的正常業務程式
查看行程:ps -aux
檢查除了正常業務所需的行程外是否還有其他可疑行程
查看與可疑行程關聯的IP
while true; do netstat -antp; sleep 1 ; done
有無可疑歷史命令:history
結束病毒行程
ps -elf | grep [pid]
kill -9 [pid]洗掉病毒檔案
#定位病毒行程對應的檔案路徑:
ls -al /proc/[pid]/exe
rm -f [exe_path]檢查是否存在可疑定時任務
#列舉定時任務
crontab -l
#查看anacron異步定時任務:
cat /etc/anacrontab檢查是否存在可疑服務
#centos6
service --status-all
#centos7
systemctl檢查系統檔案是否被劫持
#按修改事件排序查看7天內被修改過的系統檔案
find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la掃描是否存在惡意驅動
lsmod查詢log主機登陸日志:
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'定位有爆破的源IP:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c爆破日志的用戶名密碼:
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr2. 系統安全加固
添加命令審計
為歷史的命令增加登錄的IP地址、執行命令時間等資訊:
##[1] 保存1萬條命令:
sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
##[2] 在/etc/profile的檔案尾部添加如下行數配置資訊:
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
##[3] 讓配置生效:
source /etc/profile轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/348281.html
標籤:其他
下一篇:hosts檔案