0
点赞
收藏
分享

微信扫一扫

经验分享:排查主机排查是否入侵

背景信息:这段时间集团护网,个人结合自己的工作经历,整理了几种常见的机器被黑后排查情况供参考,以下情况是在kali2022的系统中查看的,其它Linux发行版类似。

查看日志信息是否还存在或者是否被清空

ll -h /var/log/*

经验分享:排查主机排查是否入侵_日志文件经验分享:排查主机排查是否入侵_日志文件_02

查看/etc/passwd及/etc/shadow文件是否存在创建一个新的存放用户名及密码文件

ll /etc/passwd
ll /etc/shadow


查看/etc/passwd及/etc/shadow文件是否存在修改用户名及密码文件

more /etc/passwd
more /etc/shadow


查看机器最近成功登陆的事件和最后一次不成功的登陆事

对应日志“/var/log/lastlog”

lastlog


查看机器当前登录的全部用户

对应日志文件“/var/run/utmp”

Who


查看机器所有用户的连接时间(小时),对应日志文件“/var/log/wtmp”

ac -dp

经验分享:排查主机排查是否入侵_用户名_03

查看/var/log/secure日志文件尝试发现入侵者的信息

经验分享:排查主机排查是否入侵_用户名_04

查询异常进程所对应的执行脚本文件

top命令查看异常进程对应的PID,在虚拟文件系统目录查找该进程的可执行文件

经验分享:排查主机排查是否入侵_用户名_05经验分享:排查主机排查是否入侵_用户名_06

另外,今天小老虎在B站给大家上传了一套我们闫辉老师的授课视频,包含了,NA至IE阶段的内容,有需要的小伙伴也可移步B站学习~

举报

相关推荐

0 条评论