TA的每日心情 | 衰
2020-4-12 22:16 |
|---|
签到天数: 71 天 [LV.6]常住居民II
|
本帖最后由 以谁为师 于 2017-9-26 18:26 编辑
1. 检查帐户展开目录
awk -F: '$3==0 {print $1}' /etc/passwd
#查看是否存在特权用户
awk -F: 'length($2)==0 {print $1}' /etc/shadow
#查看是否存在空口令帐户
awk -F\: '{system("passwd -S "$1)}' /etc/passwd|awk '{print $1,$3}'
#查看账户创建日期
2. 检查日志展开目录
last |head -20 #查看登录信息
grep Failed /var/log/secure |egrep -o '[0-9]{1,3}(\.[0-9]{1,3}){3}' |sort |uniq -c|sort -nr |head -10
3. 检查进程展开目录
ps -aux #注意UID是0的
lsof -p pid #察看该进程所打开端口和文件
#cat /etc/inetd.conf | grep -v “^#”(检查守护进程)
检查隐藏进程
ps -ef|awk '{print }' |sort -n|uniq >1
ls /proc |sort -n |uniq >2
diff 1 2
4. 检查文件展开目录
find / -uid 0 -perm -4000 -print
find / -size +10000k -print| xargs du -sh|sort -nr #10M以上的文件
find / -name “…” -print
find / -name “.. ” -print
find / -name “. ” -print
find / -name ” ” -print
注意SUID文件,可疑大于10M和空格文件
find / -name core -exec ls -l {} ;(检查系统中的core文件)
检查系统文件完整性展开目录
rpm -qf /bin/ls
rpm -qf /bin/login
md5sum -b 文件名
md5sum -t 文件名
5. 检查 RPM展开目录
|
|
发表于 2017-9-26 18:21:54
