1 ssh后门
检察语句:
grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al
检察方法:如发现以下三个红框内的其中一个请截图并记录,基本确定为存在后门
2 nginx后门
检察语句: grep "pwnginx=" `which nginx` -al
检察方法: 如果搜出来东西基本可以确定存在后门,请截图并记录.
没有安NGINX的话可以CTRL+C退出查询
3 日志搜索
检察语句:
more /var/log/messages* |grep drawing
more /var/log/messages* | grep glistering
more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'
检察方法:以上前两个检察语句,如搜到,如下
以上两个截图搜出的主要是网卡修改信息,如有非本机的ip地址,请记录.
以下是more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'
搜索出来的登陆成功和失败的截图,请详细排查以下不认识的IP,并记录时间和IP.
4 检察异常帐户
检察语句:
more /etc/passwd
more /etc/sudoer
检察方法: 查看用户标识号:组标识号 如果其中有一个为0 即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户 如:
5 登陆IP 和时间
检察语句:
who /var/log/wtmp
检察方法:查看异常登陆时间和IP,如有异常请记录时间IP
6 异常端口检察
检察语句:
netstat -an|more
检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.
7 网卡查询
检察语句:
ifconfig
检察方法:如有异常,如网卡子接口等非自己配置的,请记录
8 利用木马扫描工具进行全站扫描
暂时比较好用的工具推荐用WINDOWS版本的工具,LINUX版本误报太多,且不利用观察.
可以把目录拷贝出来进行扫描,扫描出4-5级别的问题基本可以确认为恶意文件.
9 利用查询语句,在服务器内查询有关非法页面内包括的关键字或词,定位非法页面所在地.并查询创建时间等,并着重检查在该时间段产生的文件等
10 检察历史操作信息
检察语句:
History
检察方法”看是否有异常操作,如有异常请确认后记录