015服务器被黑检查命令

服务器被黑检查命令

0.查看服务器是否有后门

iptraf   看里面是不是UDP包发的很多，如果是，基本都被人装了后门
yum install iptraf

1.检查帐户

last | more   查看正在登录的用户
pkill -kill -t pts/4   踢掉异常登录的账户
less /etc/passwd
grep :0: /etc/passwd（检查是否产生了新用户，和UID、GID是0的用户）
ls -l /etc/passwd（查看文件修改日期）
awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特权用户）
awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帐户）

2.检查日志

last（查看正常情况下登录到本机的所有用户的历史记录）
登录终端时注意 ”entered promiscuous mode”   进入混合模式
tail -f /var/log/messages

3.检查进程

ps -aux（注意UID是0的）
lsof -p pid（察看该进程所打开端口和文件）
cat /etc/inetd.conf | grep -v “^#”（检查守护进程）
检查隐藏进程
ps -ef|awk ‘{print }’|sort -n|uniq >1
ls /porc |sort -n|uniq >2
diff 1 2
```

####4.检查网络
```
$ netstat -nl  运行的端口
lsof -i :48988 查看端口对应的进程
ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer）
lsof –i
netstat –nap（察看不正常打开的TCP/UDP端口)
arp –a
vi /etc/hosts.deny  拒绝IP
1.查看80端口连接数：
netstat -nat|grep -i "80" |wc -l
2.对连接的IP按连接数量进行排序:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
3.用tcpdump嗅探80端口的访问看看谁最高:
tcpdump -i eth0 -tnn dst port 80 -c 1000
4.iptables屏蔽ip：
屏蔽单个IP的命令是 iptables -I INPUT -s 123.45.6.7 -j DROP
封整个段即从123.0.0.1到123.255.255.254的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP
封IP段即从123.45.0.1到123.45.255.254的命令 iptables -I INPUT -s 124.45.0.0/16 -j DROP
封IP段即从123.45.6.1到123.45.6.254的命令是 iptables -I INPUT -s 123.45.6.0/24 -j DROP
```
####5.检查计划任务
```
注意root和UID是0的schedule
crontab –u root –l
cat /etc/crontab
ls /etc/cron.*
```
####6.检查后门
```
cat /etc/crontab
ls /var/spool/cron/
cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d
find / -type f -perm 4000
```


####7.检查系统服务
```
chkconfig
rpcinfo -p（查看RPC服务）
检查chkconfig 列表，防止一些程序加入到开机自启动中
chkconfig --list
```

####8.检查文件
```
find / -uid 0 –perm -4000 –print
find / -size +10000k –print
find / -name “…” –print
find / -name “.. ” –print
find / -name “. ” –print
find / -name ” ” –print
注意SUID文件，可疑大于10M和空格文件
find / -name core -exec ls -l {} ;（检查系统中的core文件）
检查系统文件完整性
rpm –qf /bin/ls
rpm -qf /bin/login
md5sum –b 文件名
md5sum –t 文件名
```
####9.检查内核模块
```
lsmod
```

####10.检查rootkit
```
rkhunter -c
chkrootkit -q
```
####11.检查RPM
```
rpm –Va
输出格式：
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin
```

最后编辑于：2017.12.05 21:15:45

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 202,009评论 5赞 474
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 84,808评论 2赞 378
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 148,891评论 0赞 335
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,283评论 1赞 272
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,285评论 5赞 363
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,409评论 1赞 281
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 37,809评论 3赞 393
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,487评论 0赞 256
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 40,680评论 1赞 295
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,499评论 2赞 318
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,548评论 1赞 329
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,268评论 4赞 318
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 38,815评论 3赞 304
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,872评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,102评论 1赞 258
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 42,683评论 2赞 348
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,253评论 2赞 341

015服务器被黑检查命令

服务器被黑检查命令

0.查看服务器是否有后门

1.检查帐户

2.检查日志

3.检查进程

推荐阅读更多精彩内容