1. 檢查帳戶
<a target="_blank" href="http://www.2cto.com/Article/201404/296034.html#">?</a>
1
2
3
4
5
<code># less /etc/passwd</code>
<code># grep :0: /etc/passwd(檢查是否産生了新使用者,和UID、GID是0的使用者)</code>
<code># ls -l /etc/passwd(檢視檔案修改日期)</code>
<code># awk -F: ‘$3= =0 {print $1}’ /etc/passwd(檢視是否存在特權使用者)</code>
<code># awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(檢視是否存在空密碼帳戶)</code>
2. 檢查日志
# last(檢視正常情況下登入到本機的所有使用者的曆史記錄)
注意”entered promiscuous mode”
注意錯誤資訊
注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
3. 檢查程序
<code># ps -aux(注意UID是</code><code>0</code><code>的)</code>
<code># lsof -p pid(察看該程序所打開端口和檔案)</code>
<code># cat /etc/inetd.conf | grep -v “^#”(檢查守護程序)</code>
檢查隐藏程序
<code># ps -ef|awk ‘{print }’|sort -n|uniq ></code><code>1</code>
<code># ls /porc |sort -n|uniq ></code><code>2</code>
<code># diff</code><code>1</code>
<code>2</code>
4. 檢查檔案
6
<code># find / -uid</code><code>0</code>
<code>–perm -</code><code>4000</code>
<code>–print</code>
<code># find / -size +10000k –print</code>
<code># find / -name “…” –print</code>
<code># find / -name “.. ” –print</code>
<code># find / -name “. ” –print</code>
<code># find / -name ” ” –print</code>
注意SUID檔案,可疑大于10M和空格檔案
# find / -name core -exec ls -l {} \;(檢查系統中的core檔案)
檢查系統檔案完整性
<code># rpm –qf /bin/ls</code>
<code># rpm -qf /bin/login</code>
<code># md5sum –b 檔案名</code>
<code># md5sum –t 檔案名</code>
5. 檢查RPM
# rpm –Va
輸出格式:
7
8
<code>S – File size differs</code>
<code>M – Mode differs (permissions)</code>
<code>5</code>
<code>– MD5 sum differs</code>
<code>D – Device number mismatch</code>
<code>L – readLink path mismatch</code>
<code>U – user ownership differs</code>
<code>G – group ownership differs</code>
<code>T – modification time differs</code>
注意相關的 /sbin, /bin, /usr/sbin, and /usr/bin
6. 檢查網絡
<code># ip link | grep PROMISC(正常網卡不該在promisc模式,可能存在sniffer)</code>
<code># lsof –i</code>
<code># netstat –nap(察看不正常打開的TCP/UDP端口)</code>
<code># arp –a</code>
7. 檢查計劃任務
注意root和UID是0的schedule
<code># crontab –u root –l</code>
<code># cat /etc/crontab</code>
<code># ls /etc/cron.*</code>
8. 檢查後門
<code># ls /var/spool/cron/</code>
<code># cat /etc/rc.d/rc.local</code>
<code># ls /etc/rc.d</code>
<code># ls /etc/rc3.d</code>
<code># find / -type f -perm</code><code>4000</code>
9. 檢查核心子產品
# lsmod
# chkconfig
# rpcinfo -p(檢視RPC服務)
11. 檢查rootkit
<code># rkhunter -c</code>
<code># chkrootkit -q</code>
<code></code>