11个步骤完美排查CC防御Linux机器是否基本被入侵-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 11个步骤完美排查CC防御Linux机器是否基本被入侵

11个步骤完美排查CC防御Linux机器是否基本被入侵

小墨安全管家 2020-05-27 20:29 CC防护 89 ℃
DDoS防御

 

-rw-------. 1 root root  26K Jul  7 18:31 /var/log/anaconda.program.log 

 

[root@hlmcen69n3 ~]# more /etc/passwd 

stone    pts/0        X.X.X.X   Wed Sep 20 16:17   still logged in 

Sep 20 16:47:21 hlmcen69n3 su: pam_unix(su-l:session): session closed for user root 

 

 

 

 

-rw-------. 1 root root 2.6K Jul  7 18:31 /var/log/anaconda.ifcfg.log 

Sep 20 16:49:30 hlmcen69n3 sshd[38605]: pam_unix(sshd:session): session closed for user test01 

 

 

对应日志“/var/log/lastlog”,相关命令示例:

-rw-r--r--. 1 root root 1373 Sep 15 11:36 /etc/passwd- 

 

[root@hlmcen69n3 ~]# lsof | grep /var/log/secure 

(3) 当系统中的某个文件被意外地删除了,只要那个时候系统中还有进程正在访咨询该文件,这么我们就能够经过lsof从/proc名目下恢复该文件的内容。

lrwxrwxrwx. 1 root root 0 Sep 15 12:31 exe -> /usr/bin/python 

 

         stone                                1.27 

 

bin:*:17246:0:99999:7::: 

 

Sep 20 16:50:04 hlmcen69n3 sshd[38652]: reverse mapping checking getaddrinfo for 190.78.120.106.static.bjtelecom.net [106.120.78.190] failed - POSSIBLE BREAK-IN ATTEMPT! 

-rw-------. 1 root root  23K Jul  7 18:31 /var/log/anaconda.log 

[root@hlmcen69n3 ~]# du -sh /var/log/* 

daemon                                     **Never logged in** 

4. 查看机器最近成功登陆的事件和最终一次不成功的登陆事件

Sep 20 16:50:05 hlmcen69n3 sshd[38652]: pam_unix(sshd:session): session opened for user test01 by (uid=0

root:x:0:0:root:/root:/bin/bash 

11个步骤完美排查CC谨防Linux机器是否差不多被入侵

 

 

Sep 15      total       11.98 

8. 假如发觉机器产生了异常流量

 

daemon:x:2:2:daemon:/sbin:/sbin/nologin 

能够使用命令“tcpdump”抓取网络包查看流量事情或者使用工具”iperf”查看流量事情

Sep 20 16:50:04 hlmcen69n3 sshd[38652]: Accepted password for test01 from X.X.X.X port 28956 ssh2 

Sep 20 17:18:52 hlmcen69n3 sshd[38790]: Connection closed by 51.15.81.90 

bin                                        **Never logged in** 

[root@hlmcen69n3 ~]# more /etc/shadow 

 

背景信息:以下事情是在CentOS 6.9的系统中查看的,其它Linux发行版类似。

11.假如确认机器基本被入侵,重要文件基本被删除,能够尝试找回被删除的文件

 

  

stone    pts/0        2017-09-20 16:17 (X.X.X.X) 

[root@hlmcen69n3 ~]# ll /var/log/secure 


DDoS防御

当前位置:主页 > CC防护 > 11个步骤完美排查CC防御Linux机器是否基本被入侵

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119