送给蓝初小萌新系列(1)——Linux入侵排查

news2024/11/24 3:08:29

一、linux系统资源


1、linux被入侵的症状

  1. linux系统资源
  2. 用户和日志
  3. 文件和命令篡改
  4. 启动项和定时任务
  5. 挖矿脚本分析

2、linux系统资源

2.1、CPU内存磁盘

  • top -c -o %CPU:查看cpu占用情况(按cpu排序)

  • top -c -o %MEM:查看内存占用情况(按内存排序)

  • ps -aux --sort=-pcpu|head -10 :查看进程

  • df -Th:查看写满了的目录文件

2.2、系统进程(windows里的任务管理器)

  • ps -ef

  • ps -aux

  • pstree :进程树形式呈现(父子进程)

2.3、网络连接

  • lsof -i:以网络方式查看文件、系统硬件与网络(这个是关键)

  • netstat -antpl:从网络端口出发的分析(主要是看防火墙的出入配置)

  • iptables -L:用于列出当前系统上的所有iptables防火墙规则。

3、linux用户和日志

3.1、系统用户

  • awk -F: '$3==0{print $1}' /etc/passwd

特别需要注意uid=0的账号(root权限账号)

查用户可以先查下 cat /etc/shadow 和 /etc/passwd看下有没有不认识的用户

命令:cat /etc/shadow

    cat /etc/passwd

用于查看用户信息

  • who:查看当前登录的用户

  • w:显示已登录的用户,且在执行的命令

  • last:查看登录成功的用户

  • lastb:查看最近登录失败的用户

  • lastlog:查所有用户最近登录的时间

3.2、审计日志(着重看下Centos的)

如下是kali的日志:

如下是centos(8)的日志:

  • 整体日志:

/var/log/message

  • 登录注销日志last

/var/log/wtmp

  • 登录日志lastlog

/var/log/lastlog

  • 登录失败日志lastb

/var/log/btmp

  • 当前用户w,who,users

/var/log/utmp

  • 定时任务日志

/var/log/cron

  • 系统应用登录日志

 /var/log/secure

  • 软件安装日志

/var/log/yum.log

  • 各种应用日志

3.3、历史命令

  • 历史命令查询:​​history​
  • 历史命令清除:​​echo "" >~/.bash_history​
  • 注意一个误区:​​history -c​​无法清除历史命令

4、启动项和定时任务

4.1、chkconfig

  • systemctl list-unit-files|grep sshd:查看系统自带的服务

  • chkconfig telnet on:启动telnet服务
  • chkconfig telnet off:关闭telnet服务
  • 自定义脚本
  • vim /etc/init.d/TEST
  • chomd +x /etc/init.d/TEST
  • chkconfig --add TEST
  • chkconfig --list TEST
  • chkconfig --del TEST

4.2、systemctl

  • systemctl list-unit-files --type=service |grep sshd
  • systemctl enable mysqld.service:系统开机自启动mysql服务
  • systemctl disable mysqld.service:系统关闭mysql的开机自启

4.3、文件

  • /etc/rc.d/rc
  • /etc/rc
  • /etc/re.local
  • /etc/rc.d/rc
  • /etc/init*/.conf
  • /etc/rc$runleveel.d/
  • /etc/profile
  • /etc/profile.d/

4.4、定时任务

  • crontab -l:列出定时任务

  • cat /etc/crontab:按时间分类的任务

  • ll /etc/cron.*

 5、挖矿病毒

挖矿病毒是一种恶意软件,其主要目的是利用受感染计算机的计算资源来进行加密货币的挖掘。以下是挖矿病毒的一些特征:

  1. 高CPU和GPU使用率:挖矿病毒会占用受感染计算机的大量计算资源,导致CPU和GPU使用率飙升,使计算机变得缓慢。
  2. 高电力消耗:由于挖矿过程需要大量的计算资源,受感染计算机的电力消耗也会明显增加。
  3. 异常的网络流量:挖矿病毒会与远程服务器建立连接,以便接收指令和发送挖矿结果。这可能导致受感染计算机的网络流量异常增加。
  4. 隐藏性:挖矿病毒通常会隐藏在系统的深层目录或进程中,以避免被用户察觉。它们可能会使用伪装的文件名或进程名来混淆用户。
  5. 自我复制:一些挖矿病毒具有自我复制的能力,可以在网络中传播并感染其他计算机。
  6. 持续性:挖矿病毒通常会在计算机启动时自动启动,并在后台持续运行,以确保持续挖矿。
  7. 安全软件的绕过:挖矿病毒可能会尝试绕过安全软件的检测和阻止,以确保其持续存在和挖矿活动。
  8. 导致系统不稳定:由于挖矿病毒会占用大量计算资源,可能会导致系统崩溃或变得不稳定。
  9. 异常的温度:由于挖矿病毒会大量使用CPU和GPU,可能会导致计算机温度异常升高。

总的来说,挖矿病毒的特征包括高CPU和GPU使用率、高电力消耗、异常的网络流量、隐藏性、自我复制、持续性、绕过安全软件、导致系统不稳定和异常的温度。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/648692.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

兼容性测试如何提高网站的可用性?

兼容性测试如何提高网站的可用性? 在现代社会,网站已经成为了人们获取信息、进行交流的主要渠道之一。但是,在网站的设计和开发中,往往会存在兼容性问题,导致不同浏览器或设备的用户无法顺利地访问和使用网站,降低了网…

华为OD机试之最长连续子序列(Java源码)

最长连续子序列 题目描述 有N个正整数组成的一个序列。给定整数sum,求长度最长的连续子序列,使他们的和等于sum,返回此子序列的长度, 如果没有满足要求的序列,返回-1。 输入描述 第一行输入是:N个正整数…

【Spring 核心 | IoC】

IoC IoC 简介定义:IoC 和 DIBeanIoC 容器Ioc IoC容器 IoC 简介 定义: IoC即控制反转(Inversion of Control,缩写为 IoC)。IoC又称为依赖倒置原则(设计模式六大原则之一)。 IoC意味着将你设计好…

走近mysql运算符|靠它就够啦

这里写目录标题 比较运算符的使用等号运算符<>安全等于不等于运算符<>/!非符号类型的运算符BETWEEN ANDINLIKEPEGEXP/ RLIKE 逻辑运算符使用位运算符 比较运算符的使用 等号运算符 判断等号两边的值&#xff0c;字符串或表达式是否相等&#xff0c;如果相等则返回…

Hadoop/Hive/Spark小文件处理

什么是小文件&#xff1f; 小文件指的是文件size比HDFS的block size小很多的文件。Hadoop适合处理少量的大文件&#xff0c;而不是大量的小文件。 hadoop小文件常规的处理方式 1、小文件导致的问题 首先&#xff0c;在HDFS中&#xff0c;任何block&#xff0c;文件或者目录…

吴恩达471机器学习入门课程1第1周——梯度下降

文章目录 1加载数据集2计算COST(均值平方差&#xff0c;1/2m(y_pre - y))3计算梯度4画出成本曲线5梯度下降 import math, copy import numpy as np import matplotlib.pyplot as plt plt.style.use(./deeplearning.mplstyle) from lab_utils_uni import plt_house_x, plt_conto…

华为OD机试真题 JavaScript 实现【找出通过车辆最多颜色】【2023Q1 100分】

一、题目描述 在一个狭小的路口&#xff0c;每秒只能通过一辆车&#xff0c;假如车辆的颜色只有3种&#xff0c;找出n秒内经过的最多颜色的车辆数量。 三种颜色编号为0、1、2。 二、输入描述 第一行输入的是通过的车辆颜色信息 [0 1 1 2] 代表4秒钟通过的车辆颜色分别是0 1…

手把手教你使用CONN(预处理)

CONN软件介绍 &#xff08;1&#xff09;CONN是一个基于Matlab的跨平台软件&#xff0c;用于计算、显示和分析功能磁共振成像&#xff08;fcMRI&#xff09;中的功能连通性。也可用于静息状态数据&#xff08;rsfMRI&#xff09;以及任务相关设计。 &#xff08;2&#xff09…

Vue的组合式

1. 概念 选项式API&#xff1a;将相同类型的代码放在一起&#xff08;比如所有数据、所有用到的方法等等&#xff09;当代码业务板块过多时&#xff0c;不方便写代码和后期维护 组合式API&#xff1a;将同一业务的相关代码放在一起&#xff08;比如说数据&#xff0c;方法&am…

什么是同源策略

文章目录 同源策略同源策略的目的同源策略分类 同源策略 同源策略是指浏览器的一种安全机制&#xff0c;用于限制来自不同源&#xff08;即域、协议或端口&#xff09;的文档或脚本之间的交互操作。 根据同源策略&#xff0c;浏览器只允许当前网页与同一源下的其他资源进行交…

Linux之CentOS 7.9部署Oracle 11g r2 静默安装实测验证(无桌面模式)

前言&#xff1a;因前段时间一直部署的windows环境的oracle&#xff0c;这次记录下linux下的部署方式&#xff0c;当然还有更多的其他部署&#xff0c;大家可根据自身环境及学习来了解。一般静默安装主要还是要提前准备源包&#xff0c;还有很多依赖包&#xff0c;另外就是配置…

如何显示文件后缀名,这4个方法很简单!

Anna最近想对电脑里的文件进行分类&#xff0c;但有些未知类型的文件&#xff0c;她想查看文件的类型并进行分类&#xff0c;可是她不知道如何显示文件后缀名&#xff0c;因此向大家求助。 在计算机操作中&#xff0c;文件的后缀名是文件名的一部分&#xff0c;用于标识文件的类…

FlinkSQL写入iceberg—Windows环境下

前置条件 Flink运行版本13.1&#xff0c;iceberg依赖版本&#xff1a;1.0.0 依赖 FlinkSQL运行环境略。 注意版本匹配&#xff0c;采用不合适版本可能导致无法读写。 <!-- Flink 操作Iceberg 需要的Iceberg依赖 --><dependency><groupId>org.apache.iceb…

shell脚本变量-特殊变量

目录 特殊变量&#xff1a;$n案例需求 特殊变量&#xff1a;$#案例需求 特殊变量&#xff1a;$*、$案例需求 特殊变量&#xff1a;$&#xff1f;特殊变量&#xff1a;$$ 特殊变量&#xff1a;$n 语法 $n含义&#xff1a; 用于接收脚本文件执行时传入的参数 $0 用于获取当前脚…

机器人系统中的六大漏洞

原创 | 文 BFT机器人 在过去的几十年里&#xff0c;创新和技术导致机器人技术不断发展。 机器人系统正在迅速变得更加多产、复杂、有能力、智能化和网络化&#xff0c;并被用于越来越多的任务。 最初&#xff0c;机器人技术领域仅限于制造领域&#xff0c;但现在机器人可以与人…

KMP算法 - 确定有限状态自动机

KMP神在哪里&#xff1f; 子串匹配问题&#xff0c;拍脑袋一下子想出来的暴力解法大抵都是两重for循环&#xff0c;不断重复扫描主串&#xff0c;与子窜进行匹配&#xff0c;重复换句话讲就是冗余&#xff0c;会有很高的时间复杂度 我先前博客大作业发的模糊查找算法就是如此&…

三分钟告诉你如何和智能ai聊天

有一个名叫艾丽的年轻女孩&#xff0c;她生活在一个科技发达的未来世界。在这个世界里&#xff0c;人们与人工智能伙伴共同生活。艾丽对ai技术充满好奇&#xff0c;尤其是对ai对话聊天工具的运作方式。为了知道ai对话聊天工具怎么用&#xff0c;艾丽决定展开探索。 方案一&…

智能无线监测器的工作原理及应用优势

在现代工业生产中&#xff0c;设备状态监测对于确保生产的安全性、效率和可靠性至关重要。随着科技的不断发展&#xff0c;智能无线监测器成为工业设备状态监测的利器。本文将介绍智能无线监测器在工业领域中的应用&#xff0c;以及其带来的优势和价值。 图.设备状态监测&#…

智驾风向标|卷、乱、难,如何穿越多极分化新周期?

竞争越来越卷&#xff0c;企业越来越难&#xff0c;市场处于混乱期。对于大多数供应商来讲&#xff0c;穿越新周期的战略一定是先有规模&#xff08;市场份额&#xff09;&#xff0c;然后才是利润。 在6月8日召开的2023&#xff08;第十四届&#xff09;高工智能汽车开发者大…

8个你必须知道的Java8新特性,让你的代码变得优雅!

Java 8 是一次重大的发行版更新&#xff0c;引入了大量新特性和改进&#xff0c;以下是 Java 8 的主要特性&#xff1a; 文章目录 Java 8 是一次重大的发行版更新&#xff0c;引入了大量新特性和改进&#xff0c;以下是 Java 8 的主要特性&#xff1a;1.Lambda 表达式2.Stream …