linux系统安全排查方法

最近对公司部分服务器进行了一下安全排查，因此利用此机会整理一下linux系统安全检查策略。

1ssh后门

检察语句:

grep-E"user,pas|user:pas"/usr/bin/*/usr/local/sbin/*/usr/local/bin/*/bin/*/usr/sbin/*/root/bin/*-al

检察方法:如发现以下三个的其中一个请截图并记录,基本确定为存在后门

usr/bin/slogin

usr/bin/ssh

usr/sbin/sshd

2nginx后门

检察语句:grep"pwnginx="`whichnginx`-al

检察方法:如果搜出来东西基本可以确定存在后门,请截图并记录.

没有安NGINX的话可以CTRL+C退出查询

3日志搜索

检察语句:

more/var/log/messages*|grepdrawing

more/var/log/messages*|grepglistering

more/var/log/secure*|grep-e'Failedpassword'-e'Acceptedpassword'

检察方法:以上前两个检察语句,如搜到,如下

withdrawingaddressrecordfor*.*.*.*oneth2

以及

registeringnewaddressrecordfor*.*.*.*onem2.IPV4

等类似网卡修改信信息，如有非本机的ip地址,请记录.

以下是more/var/log/secure*|grep-e'Failedpassword'-e'Acceptedpassword'

搜索出来的登陆成功和失败的截图,请详细排查不认识的IP,并记录时间和IP.

4检察异常帐户

检察语句:

more/etc/passwd

more/etc/sudoer

检察方法:查看用户标识号:组标识号如果其中有一个为0即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户如:

5登陆IP和时间

检察语句:

who/var/log/wtmp

检察方法:查看异常登陆时间和IP,如有异常请记录时间IP

6异常端口检察

检察语句:

netstat-an

检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.

7网卡查询

检察语句:

ifconfig

检察方法:如有异常,如网卡子接口等非自己配置的,请记录