Linuxシステムが侵害されたことを検出する方法

Linuxシステムが危険にさらされた場合、個人のプライバシーデータが漏洩する可能性があり、システムが危険にさらされる可能性があります。次の小シリーズでは、Linuxが危険にさらされているかどうかを確認する方法を説明しています。

1.チェックアカウント

のコードは次のとおりです。

＃以下の/etc /passwdの "/P" "P" ＃1はgrep：0：/etc /passwdファイル（新しいユーザーが作成され、UIDとGIDが0のユーザーを確認します。） "/p" "p"＃ls -l /etc /passwd（ファイル変更日を確認） "/p" "p"＃awk -F： ‘ $ 3 = = 0 {print $ 1}&etc /passwd（特権ユーザー用） "/p" "p"＃awk -F：‘ length（$ 2）= = 0 {print $ 1}’ /etc /shadow（空白のパスワードアカウントがあるかどうかを確認します）

2.ログを確認します。

コードは次のとおりです。

#last

（通常の状況下で確認してください）このマシンにログインしているすべてのユーザーの履歴）

無差別モードに入ったことを示します。'

注意エラーメッセージ

ログ付きのリモートプロシージャコール（rpc）プログラム文字数が多い（》 20）変な文字（ - ^ PM- ^ PM- ^ PM- ^ PM- ^ PM- ^ PM- ^ PM- ^ PM）

3.プロセスをチェックする
>

コードは次のとおりです。

＃ "/p" "p"＃lsof -p pid（プロセスによって開かれたポートとファイルを参照） "/p" "p"＃cat /etc/inetd.conf  Grep -v' ^＃'（デーモンチェック） "/p" "p"隠しプロセスのチェック "/p" "p"＃ps -ef