¿Cómo detectar cuando el sistema Linux está comprometido?

Si el sistema Linux está comprometido, es probable que se filtren datos de privacidad personal y el sistema esté en riesgo. Entonces, ¿cómo está comprometido el sistema únicamente? Las inspecciones regulares son necesarias. Las siguientes series pequeñas le dirán cómo verificar si Linux está comprometido.

1. Comprobar la cuenta

código es el siguiente:

# less /etc /password "/p" "p" # grep: 0: /etc /passwd (Compruebe si se ha creado un nuevo usuario, y el usuario con UID y GID es 0) "/p" "p" # ls -l /etc /passwd (verifique la fecha de modificación del archivo) "/p" "p" # awk -F: ‘ $ 3 = = 0 {print $ 1} ’ /etc /passwd (compruebe los usuarios privilegiados) "/p" "p" # awk -F: ‘ longitud ($ 2) = = 0 {print $ 1} ’ /etc /shadow (Verifique si hay una cuenta de contraseña en blanco)

2. Verifique el registro

El código es el siguiente:

#last

(Verifique en circunstancias normales) Historial de todos los usuarios que iniciaron sesión en esta máquina)

Nota en el modo promiscuo ingresado "

Mensajes de error en la nota

Nota Programas de llamada a procedimiento remoto (rpc) con un registro Entrada que incluye un gran número (》 20) caracteres extraños (- ^ PM- ^ PM- ^ PM- ^ PM- ^ PM- ^ PM- ^ PM- ^ PM)

3. Comprobar proceso
>

El código es el siguiente:

# Ps -aux (note que el UID es 0) "/p" "p" # lsof -p pid (vea el puerto y el archivo abierto por el proceso) "/p" "p" # cat /etc/inetd.conf |  Grep -v " ^ # " (comprobar daemon) "/p" "p" verificar proceso oculto "/p" "p" # ps -ef | Awk ‘ {imprimir} ’ | Ordenar -n | Uniq》 1 "/p" "p" # ls /porc | Ordenar -n | Uniq》 2 "/p" "p" # diff 1 2

4. Verifique el archivo

El código es el siguiente:

# find /-uid 0 – perm -4000 – print "/p" "p" # find /-size + 10000k – print "/p" "p" # find /-name " … " – print "/p" "p" # find /-name ". . " – print "/p" "p" # find /-name ". " – print "/p" "p" # find /-name " " – print "/p" "p" Note el archivo SUID, sospechoso de 10M y el archivo de espacio

# find /-name core -exec ls -l {} \\

(verifique el archivo del núcleo en el sistema) "/p" "p" verifique la integridad del archivo del sistema "/p" "p" # rpm – qf /Bin /ls "/p" "p" # rpm -qf /bin /login "/p" "p" # md5sum – b nombre de archivo "/p" "p" # md5sum – t nombre de archivo

5. Comprobar RPM

El código es el siguiente:

# rpm – Va

Formato de salida: "/p" "p" S – El tamaño del archivo es diferente "/p "p" M – Modo difiere (permisos) "/p" "p" 5 – MD5 suma difiere "/p" "p" D – Número de dispositivo no coincide "/p" "p" L – readLink Falta de coincidencia de ruta "/p" "p" U – la propiedad del usuario difiere "/p" "p" G – la propiedad del grupo difiere "/p" "p" T – el tiempo de modificación difiere "/p" "p" nota relevante /sbin, /bin, /usr /sbi n, y /usr /bin

6. Verifique la red

El código es el siguiente:

# ip link |  Grep PROMISC (la NIC normal no debe estar en modo promisc, puede haber sniffer) "/p" "p" # lsof – i "/p" "p" # netstat – nap (no se ve el puerto TCP /UDP abierto normal) "/p" "p" # arp – a

7. Verifique la tarea programada

El código es el siguiente:

Tenga en cuenta que la raíz y el UID son las programaciones de 0 "/p" "p" # crontab – u root – l "/p" "p" # cat /etc /crontab "/p" "p" # ls /etc/cron.*

8. Revise la puerta trasera

El código es el siguiente:

# cat /etc /crontab "/p" "p" # ls /var /spool /cron /"/p" "p" # cat /etc /rc .d /rc.local "/p" "p" # ls /etc/rc.d "/p" "p" # ls /etc/rc3.d "/p" "p" # find /-type f - Perm 4000

9. Verifique el módulo del kernel

El código es el siguiente:

# lsmod

10. Verifique el servicio del sistema

El código es el siguiente:

# chkconfig "/p" "p" # rpcinfo -p (Ver Servicio RPC)

11. Verifique el código de rootkit

como sigue:

# rkhunter -c 《/p p "p" # chkrootkit -q

Lo anterior es una forma de verificar si el sistema Linux ha sido comprometido. Si cree que su computadora no está lo suficientemente segura o si la información es robada. Situación, entonces puedes usar el método de este artículo para verificarlo.