如何检查Linux服务器是否被黑？

linux系统的服务器被入侵，针对不太了解linux服务器网络管理的人，总结了以下基本方法。\x0d\首先，向iptraf查询。如果没有安装，运行yum install iptraf看看里面是否有很多UDP包。如果是，基本上就是装了后门\x0d\1。检查帐户\ x0d \ # less/etc/passwd \ x0d \ # grep:0:/etc/passwd(检查是否创建了新用户，以及UID和GID为0的用户)\x0d\# ls -l /etc/passwd(检查文件修改日期)\ x0d \ # awk-f:' $ 3 = = 0 { print $ 65438+。x0d \ # awk-f:' length $ 2)= = 0 { print $ 1 } '/etc/shadow(检查是否有空密码账户)\x0d\ \x0d\2。检查日志\x0d\# last(检查正常情况下登录到此计算机的所有用户)注意“输入的提示模式”\x0d\注意错误消息\x0d\注意远程过程调用(RPC)程序的日志条目包含大量(> 20个)奇怪字符(-pm-pm-pm-pm-pm-pm) \x0d\ \ x0d \ 3。检查进程\ \x0d\# ps -aux(注意UID为0)\x0d\ # # cat/etc/inetd . conf | grep-v " ^# " #(检查守护进程)\ x0d \检查隐藏进程\ x0d \ # PS-ef | awk“{ print }”| sort-n | uniq > 1 \ x0d \ # ls/porc | sort-n | uniq & gt；2\x0d\# diff 1 2\x0d\ \x0d\4。检查文件\ x0d \ # find/-uid 0 _ perm-4000 _ print \ x0d \ # find/-size+10000k _ print。_ print \ x0d \ # find/-name "..." _ print \ x0d \ # find/-name "。" _ print \ x0d \ # find/-name " " _ print \ x0d \注意SUID文件，可疑大小大于10M和空白文件x0。(检查系统中的核心文件)\x0d\检查系统文件完整性\ x0d \ # rpm _ qf/bin/ls \ x0d \ # rpm-qf/bin/log in \ x0d \ # m D5 sum _ b文件名\x0d\# md5sum _t文件名\ x0d \。X0d\输出格式:\ x0d \ s _文件大小差异\ x0d \ m _ mode差异(权限)\ x0d \ 5 _ MD5总和差异\ x0d \ d _设备号不匹配\ x0d \ L _ readlink路径不匹配\ x0d \ g _用户所有权差异\ x0d \ t _修改时间差异\ x0d \注意相关的/sbin、/bin、/usr/sbin和/usr/bin \ x0d \ \ x0d \ 6。检查网络\x0d\# ip link | grep PROMISC(正常网卡应该不是PROMISC模式，可能有嗅探器)\x0d\# lsof _i\x0d\ # netstat _nap(查看未正常打开的TCP/UDP端口)\x0d\# arp _a\x0d\ \x0d\7。检查计划任务\x0d\并注意root和UID为0 \ x0d \ # crontab _ u root _ l \ x0d \ # cat/的计划。# ls/etc/cron。* \ x0d \ x0d \ 8。检查后门\ x0d \ # cat/etc/crontab \ x0d \ # ls/var/spool/cron/\ x0d \ # cat/etc/RC . d/RC . local . # ls/etc/rc3 . d \ x0d \ # find/-type f-perm 4000 \ x0d \ x0d \ 9。检查内核模块\x0d\# lsmod\x0d\ \x0d\10。检查系统服务\ x0d。X0d\ \x0d\11。检查rootkit \ x0d \ # rk hunter-c \ x0d \ # chkrootkit-q。