查找Linux入侵证据的几个简单技巧
注释:一些简单的技巧可以发现Linux是否被入侵。为了找到Linux系统的入侵证据,我们可以从以下几个方面着手:
的1.last lastlog命令,可以查看最近的登录帐号和时间
2、可以使用接受关键字来查看系统是否有可疑IP地址的成功登录信息。
三.用户任务计划,文件 / / / var阀芯cron / /用户标签,一些黑客将设置的后门程序,病毒将计划任务,定期执行
4,几个目录, / / / tmp,VaR的TMP和/ dev / SHM,这往往是放置在木马、病毒,因为这些目录被设置了,即所有用户都可读,可写,可执行。同时访问这些目录具有root权限,这样即便黑客没有获得root权限,上传木马病毒在这些目录中,非常方便。
5,通过寻找,找到 / - ctime n是指定的时间。它可以综合判断发现的信息,然后选择时间点找到那个时间点创建的文件。例如,前2天24小时,可以使用查找/ - CTime 2 > / / file.log TMP(如果你不想刷新,可以重定向到一个文件)
6。各种服务日志,如Apache日志:
apache_home美元/日志/ access_log,apache_home美元/日志/ error_log