日志及定时任务

  1. #检查登录日志
  2. grep "password" /var/log/secure* | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' |sort |uniq -c
  4. #查看所有用户crontab
  5. for i in `cat /etc/passwd |awk -F':' '{print $1}'`;do crontab -l -u $i;done
  7. #登录失败的用户统计
  8. lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more

用户检查

  1. awk -F":" '{if($3 == 0){print $1}}' /etc/passwd
  3. awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd

文件检查

  1. find / -uid 0 -perm 4000 -print

隐藏端口检查

  1. yum install unhide -y
  2. unhide
  3. unhide-tcp

进程检查

  1. netstat -ntlup
  2. ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2

后门检测工具

  1. #1. rkhunter
  2. yum install -y rkhunter
  3. rkhunter -c
  5. #2. chkrootkit
  6. yum -y install gcc gcc-c++ make cmake glibc-static glibc-utils
  7. wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
  8. tar zxvf chkrootkit.tar.gz
  9. make sense
  10. chkrootkit -q

抓包获取异常连接

  1. tcpdump -i em1 -nn
  3. tcpdump -i em1 -nn '((tcp) and (port 22)) and (not dst net 10.0)'

参考