linux 木马查杀指南

森林生灵 2022/03/04 116 1

文章目录 (?) [+]

    账号

     # 查找特权用户
     awk -F ":" '$3==0{print $1}' /etc/passwd
     
     # 查找可以远程登录的账号信息
     awk '/\$1|\$6/{print $1}' /etc/shadow
     
     # 查找 sudo 权限账户
     cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
     
     # CentOS 登录日志
     # 查看登录成功的日期、用户名及 IP
     grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
     # 查看试图爆破主机的 IP
     grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more
     grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c
     # 查看试图爆破 root 账号的 IP
     grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort
     # 查看爆破用户名字典
     grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr
     
     # 查看当前登录用户和其行为
     w
     
     # 查看所有用户最后一次登录的时间
     lastlog
     
     # 查看所有用户的登录注销信息及系统的启动、重启及关机事件
     last


    定时任务

     crontab -l
     ls -lt /etc/cron.* /var/spool/cron/* /var/spool/anacron/*
     cat /etc/crontab /etc/anacrontab


    启动项

     # CentOS
     cat /etc/rc.local
     ll /etc/rc*
     chkconfig --list
     /etc/systemd/system/multi-user.target.wants/


    文件

     # 3 * 24 小时内有修改的文件
     find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -3 | xargs ls -la
     # 3 * 24 小时内新创建的文件
     find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -ctime -3 | xargs ls -la
     
     # 按时间排序,确认最近是否有命令被替换
     ls -alt /usr/sbin /usr/bin /usr/local/bin
     
     # 校验所有的 RPM 软件包
     # S 表示文件长度发生了变化 
     # M 表示文件的访问权限或文件类型发生了变化 
     # 5 表示 MD5 校验和发生了变化 
     # D 表示设备节点的属性发生了变化 
     # L 表示文件的符号链接发生了变化 
     # U 表示文件 /子目录/ 设备节点的 owner 发生了变化 
     # G 表示文件 /子目录/ 设备节点的 group 发生了变化 
     # T 表示文件最后一次的修改时间是发生了变化
     rpm -Va > rpm.log
     
     # 查看文件时间
     stats xxx
     
     # 加锁防止修改
     chattr +i /usr/bin /usr/lib /usr/lib64 /tmp /opt /etc /etc/init.d
     # 解除锁
     chattr -i /usr/bin /usr/lib /usr/lib64 /tmp /opt /etc /etc/init.d
     lsattr
     
     # 重命名 curl wget crontab 命令


    网络

     iptables -L
     cat /etc/resolv.conf
     cat /etc/hosts
     cat /etc/hosts.allow
     cat /etc/hosts.deny


    进程

     # 查找占用 CPU 最多的进程:运行 top 命令后,键入大写字母 P 按 CPU 排序;
     # 查找占用内存最多的进程:运行 top 命令后,键入大写字母 M 按内存排序;
     ps aux | sort -k4nr
     
     # 查看进程文件
     ls -la /proc/$pid/exe
     
     # 查看进程打开的文件
     lsof -p $pid
     
     # 查看进程端口情况
     netstat -anltp | grep $pid
     
     # 查看 /usr/bin 下的程序进程
     lsof -R | grep /usr/bin



    笔记
    本文标题:linux 木马查杀指南
    本文链接:https://www.lanseyujie.com/post/linux-trojan-horse-killing-guide.html
    作者授权:除特别说明外,本文由 森林生灵 原创编译并授权 蓝色域界 刊载发布。
    版权声明:本文使用「署名-非商业性使用-相同方式共享」创作共享协议,转载或使用请遵守署名协议。
    点赞 0 分享 0

    相关文章

    上一篇:Ubuntu 上的 Kubernets 集群搭建