Inhaltsverzeichnis
5
Heim Betrieb und Instandhaltung Betrieb und Wartung von Linux Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

Aug 03, 2023 pm 02:52 PM
linux


Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

Angesichts der zunehmenden Beliebtheit von Open-Source-Produkten ist es für einen Linux-Betriebs- und Wartungsingenieur von entscheidender Bedeutung, eindeutig erkennen zu können, ob die Maschine abnormal ist Wichtig ist, dass ich aufgrund meiner eigenen Arbeitserfahrung mehrere häufige Situationen, in denen Maschinen gehackt werden, als Referenz zusammengestellt habe:
Hintergrundinformationen: Die folgende Situation wurde auf einem CentOS 6.9-System beobachtet, und andere Linux-Distributionen sind ähnlich .

1

Die Intruder kann die Protokollinformationen des Geräts löschen. 2 Der Eindringlingerstellt möglicherweise eine neue Datei zum Speichern von Benutzernamen und Passwörtern

Sie können die Dateien /etc/passwd und /etc/shadow sowie zugehörige Befehlsbeispiele anzeigen:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


3

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


4

Anzeigen des letzten erfolgreichen Anmeldeereignisses und des letzten erfolglosen Anmeldeereignisses der Maschine

entsprechend dem Protokoll „/var/log/lastlog“ , zugehöriges Befehlsbeispiel:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


5

6Sehen Sie sich die Benutzer an, die sich seit der Erstellung der Maschine angemeldet haben

entsprechend der Protokolldatei „/var/log/wtmp“, zugehörige Befehlsbeispiele:

Darüber hinaus So sollten Sie nach offiziellen Linux-Konten suchen. Antworten Sie im Backend auf „Git Books“ und erhalten Sie ein Überraschungsgeschenkpaket.

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


7

Anzeigen der Verbindungszeit (Stunden) aller Benutzer der Maschine

entsprechend der Protokolldatei „/var/log/wtmp“, zugehörige Befehlsbeispiele:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


8

Wenn Sie feststellen, dass die Maschine ungewöhnlichen Datenverkehr erzeugt

, können Sie den Befehl „tcpdump“ verwenden, um Netzwerkpakete zu erfassen, um die Verkehrssituation anzuzeigen, oder das Tool „iperf“ verwenden, um Sehen Sie sich die Verkehrssituation an


9

Sie können die /var/log/secureProtokolldatei anzeigen

Versuchen Sie, die Informationen des Eindringlings und zugehörige Befehlsbeispiele zu ermitteln:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


10

Fragen Sie die Ausführungsskriptdatei ab, die dem abnormalen Prozess entspricht.

a.top-Befehl, um die PID anzuzeigen, die dem abnormalen Prozess entspricht. B. Suchen Sie nach dem Prozess in das virtuelle Dateisystemverzeichnis Ausführbare Datei

Folgen Sie der chinesischen Linux-Community

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


11

Wenn bestätigt wird, dass der Computer angegriffen wurde und wichtige Dateien gelöscht wurden, können Sie versuchen, die gelöschten Dateien wiederherzustellen. Hinweis:
1 Wenn ein Prozess eine Datei öffnet, solange der Prozess die Datei geöffnet lässt , auch wenn es gelöscht wird und noch auf der Festplatte vorhanden ist. Dies bedeutet, dass der Prozess nicht weiß, dass die Datei gelöscht wurde, und dass er weiterhin den Dateideskriptor lesen und schreiben kann, der ihm beim Öffnen zugewiesen wurde. Diese Datei ist außer für den Prozess nicht sichtbar, da der entsprechende Verzeichnis-Inode gelöscht wurde.
2. Im Verzeichnis /proc befinden sich verschiedene Dateien, die den Kernel und den Prozessbaum widerspiegeln. Das Verzeichnis /proc stellt einen im Speicher zugeordneten Bereich bereit, sodass diese Dateien und Verzeichnisse nicht auf der Festplatte vorhanden sind. Wenn wir diese Dateien also lesen und schreiben, erhalten wir sie tatsächlich aus dem Speicher. Die meisten Informationen zu lsof werden in Verzeichnissen gespeichert, die nach der PID des Prozesses benannt sind. Das heißt, /proc/1234 enthält Informationen für den Prozess mit der PID 1234. In jedem Prozessverzeichnis sind verschiedene Dateien vorhanden, die es Anwendungen ermöglichen, den Speicherplatz des Prozesses, Dateideskriptorlisten, symbolische Links zu Dateien auf der Festplatte und andere Systeminformationen leicht zu verstehen. Das Programm lsof verwendet diese und andere Informationen über den internen Zustand des Kernels, um seine Ausgabe zu erzeugen. Daher kann lsof Informationen wie den Dateideskriptor und den zugehörigen Dateinamen des Prozesses anzeigen. Das heißt, wir können relevante Informationen über die Datei finden, indem wir auf den Dateideskriptor des Prozesses zugreifen.
3. Wenn eine Datei im System versehentlich gelöscht wird, können wir den Inhalt der Datei über lsof aus dem Verzeichnis /proc wiederherstellen, solange zu diesem Zeitpunkt noch Prozesse im System vorhanden sind, die auf die Datei zugreifen.
Unter der Annahme, dass der Eindringling die Datei /var/log/secure gelöscht hat, kann die Methode zum Wiederherstellen der Datei /var/log/secure wie folgt aussehen:

a /secure-Datei, Es wurde festgestellt, dass die Datei nicht mehr existiert

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

b Verwenden Sie den Befehl lsof, um zu überprüfen, ob derzeit ein Prozess geöffnet ist /var/log/secure,

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

c. Aus den obigen Informationen können Sie ersehen, dass der Dateideskriptor der von PID 1264 (rsyslogd) geöffneten Datei 4 ist. Sie können auch sehen, dass /var/log/secure als gelöscht markiert wurde. Daher können wir die entsprechenden Informationen in /proc/1264/fd/4 (jede numerisch benannte Datei unter fd stellt den Dateideskriptor dar, der dem Prozess entspricht) wie folgt anzeigen:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

d Von oben Es kann Aus den Informationen geht hervor, dass Sie die wiederherzustellenden Daten erhalten können, indem Sie sich /proc/1264/fd/4 ansehen. Wenn Sie die entsprechenden Daten über den Dateideskriptor anzeigen können, können Sie sie mithilfe der E/A-Umleitung in die Datei umleiten, z. B.:

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde

e Überprüfen Sie erneut /var/log/secure und stellen Sie fest, dass Datei existiert bereits. Diese Methode zur Wiederherstellung gelöschter Dateien ist für viele Anwendungen sehr nützlich, insbesondere für Protokolldateien und Datenbanken.

Linux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde


Das obige ist der detaillierte Inhalt vonLinux – 11 Schritte, die Ihnen zeigen, wie Sie perfekt überprüfen, ob Ihr Server kompromittiert wurde. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Beste grafische Einstellungen
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. So reparieren Sie Audio, wenn Sie niemanden hören können
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Deepseek Web Version Eingang Deepseek Offizielle Website Eingang Deepseek Web Version Eingang Deepseek Offizielle Website Eingang Feb 19, 2025 pm 04:54 PM

Deepseek ist ein leistungsstarkes Intelligent -Such- und Analyse -Tool, das zwei Zugriffsmethoden bietet: Webversion und offizielle Website. Die Webversion ist bequem und effizient und kann ohne Installation verwendet werden. Unabhängig davon, ob Einzelpersonen oder Unternehmensnutzer, können sie massive Daten über Deepseek problemlos erhalten und analysieren, um die Arbeitseffizienz zu verbessern, die Entscheidungsfindung zu unterstützen und Innovationen zu fördern.

So installieren Sie Deepseek So installieren Sie Deepseek Feb 19, 2025 pm 05:48 PM

Es gibt viele Möglichkeiten, Deepseek zu installieren, einschließlich: kompilieren Sie von Quelle (für erfahrene Entwickler) mit vorberechtigten Paketen (für Windows -Benutzer) mit Docker -Containern (für bequem am besten, um die Kompatibilität nicht zu sorgen), unabhängig von der Methode, die Sie auswählen, bitte lesen Die offiziellen Dokumente vorbereiten sie sorgfältig und bereiten sie voll und ganz vor, um unnötige Schwierigkeiten zu vermeiden.

Wie löste ich das Problem der Berechtigungen beim Betrachten der Python -Version in Linux Terminal? Wie löste ich das Problem der Berechtigungen beim Betrachten der Python -Version in Linux Terminal? Apr 01, 2025 pm 05:09 PM

Lösung für Erlaubnisprobleme beim Betrachten der Python -Version in Linux Terminal Wenn Sie versuchen, die Python -Version in Linux Terminal anzuzeigen, geben Sie Python ein ...

Bitget Offizielle Website -Installation (2025 Anfängerhandbuch) Bitget Offizielle Website -Installation (2025 Anfängerhandbuch) Feb 21, 2025 pm 08:42 PM

Bitget ist eine Kryptowährungsbörse, die eine Vielzahl von Handelsdienstleistungen anbietet, darunter Spot -Handel, Vertragshandel und Derivate. Der 2018 gegründete Austausch hat seinen Hauptsitz in Singapur und verpflichtet sich, den Benutzern eine sichere und zuverlässige Handelsplattform zu bieten. Bitget bietet eine Vielzahl von Handelspaaren, einschließlich BTC/USDT, ETH/USDT und XRP/USDT. Darüber hinaus hat der Austausch einen Ruf für Sicherheit und Liquidität und bietet eine Vielzahl von Funktionen wie Premium -Bestellarten, gehebelter Handel und Kundenunterstützung rund um die Uhr.

Holen Sie sich das Installationspaket Gate.io kostenlos Holen Sie sich das Installationspaket Gate.io kostenlos Feb 21, 2025 pm 08:21 PM

Gate.io ist ein beliebter Kryptowährungsaustausch, den Benutzer verwenden können, indem sie sein Installationspaket herunterladen und auf ihren Geräten installieren. Die Schritte zum Abholen des Installationspakets sind wie folgt: Besuchen Sie die offizielle Website von Gate.io, klicken Sie auf "Download", wählen Sie das entsprechende Betriebssystem (Windows, Mac oder Linux) und laden Sie das Installationspaket auf Ihren Computer herunter. Es wird empfohlen, die Antiviren -Software oder -Firewall während der Installation vorübergehend zu deaktivieren, um eine reibungslose Installation zu gewährleisten. Nach Abschluss muss der Benutzer ein Gate.io -Konto erstellen, um es zu verwenden.

Ouyi OKX Installationspaket ist direkt enthalten Ouyi OKX Installationspaket ist direkt enthalten Feb 21, 2025 pm 08:00 PM

Ouyi Okx, die weltweit führende digitale Asset Exchange, hat jetzt ein offizielles Installationspaket gestartet, um ein sicheres und bequemes Handelserlebnis zu bieten. Auf das OKX -Installationspaket von Ouyi muss nicht über einen Browser zugegriffen werden. Der Installationsprozess ist einfach und einfach zu verstehen.

Wie setze ich nach dem Neustart des Systems automatisch Berechtigungen von Unixsocket fest? Wie setze ich nach dem Neustart des Systems automatisch Berechtigungen von Unixsocket fest? Mar 31, 2025 pm 11:54 PM

So setzen Sie die Berechtigungen von Unixsocket automatisch nach dem Neustart des Systems. Jedes Mal, wenn das System neu startet, müssen wir den folgenden Befehl ausführen, um die Berechtigungen von Unixsocket: sudo ...

Ouyi Exchange Download Official Portal Ouyi Exchange Download Official Portal Feb 21, 2025 pm 07:51 PM

Ouyi, auch bekannt als OKX, ist eine weltweit führende Kryptowährungsplattform. Der Artikel enthält ein Download -Portal für das offizielle Installationspaket von Ouyi, mit dem Benutzer den Ouyi -Client auf verschiedenen Geräten installiert werden können. Dieses Installationspaket unterstützt Windows, Mac, Android und iOS -Systeme. Nach Abschluss der Installation können sich Benutzer registrieren oder sich beim Ouyi -Konto anmelden, Kryptowährungen mit dem Handel mit den von der Plattform erbrachten Diensten anmelden.

See all articles