原文连接

原文连接

文件排查
查看开机启动项，是否存在可疑启动项

systemctl list-unit-files |grep enabled

查看历史命令记录
history|more
或
more /root/.bash_history
但是，当我们执行上面那两条历史命令的时候就会发现，结果不一样，history的内容比.bash_history多。因为bash执行命令时不是马上把命令名称写入.bash_history文件的，而是存放在内部的buffer中，等bash退出时会一并写入。所以此时就会发现.bash_history没有记录当前历史记录的问题，而history马上对操作进行了记录。不过，可以调用history -w命令要求bash立即更新history文件。

特殊权限文件查找
查找最高权限的文件

find -name *.jsp -perm 777
进程排查
查看是否存在可疑网络连接

netstat -antpl|more

日志排查
常用日志文件

/var/log/message 包括整体系统信息
/var/log/auth.log 含系统授权信息，包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/vsftpd.log 记录Linux FTP日志
/var/log/lastlog 记录登录的用户，可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码，登录成功与否
/var/log/wtmp 记录登录系统成功的账户信息，等同于命令last
/var/log/faillog 记录登录系统不成功的账号信息，一般会被黑客删除（为二进制文件不能直接查看）

linux系统相关配置文件为 /etc/rsyslog.conf

last

last命令用于查询成功登陆到系统的用户记录。最近的登录情况将显示在最前面。通过last命令可以及时掌握linux主机的登录情况，若发现未经授权的用户登录过，则表示当前主机已被入侵。如下登录没有问题

lastb

lastb命令用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件，因为这表示可能有人在尝试猜解你的密码。

如下，我自己直接在终端进行登录，使用错误的用户名或者密码进行登录，都被记录了

ssh爆破

对于ssh登录也会进行记录

tty：终端设备的统称。tty1～6是文本型控制台，tty7是图形显示管理器。

lastlog

lastlog即/var/log/lastlog，查看某系统用户最后一次登录的记录，如果新建了一个用户，用该用户进行了登录，然后再将该用户删除，则lastlog记录中不会进行记录!!

入侵检测工具——GScan
优秀安全检测项目-linux
下载地址：https://github.com/grayddq/GScan

GScan：程序定位为安全人员提供的一项入侵检测工具，旨在尽可能的发现入侵痕迹，溯源出黑客攻击的整个路径。
chkrootkit：程序定位为安全人员提供的一项入侵检测工具，旨在发现被植入的后门或者rootkit。
rkhunter：程序定位为安全人员提供的一项入侵检测工具，旨在发现被植入的后门或者rootkit。
lynis：程序定位为安全人员日常使用的一款用于主机基线和审计的工具，可辅助漏洞扫描和配置管理，也可部分用于入侵检测
GScan

使用方法：python3 GScan.py

Linux 系统命令

Linux后门排查

原文连接