可以得出filename正在運行的進程
#pidof filename
2
可以通過文件或者tcp udp協議看到進程
#fuser -n tcp port
3
可以看文件修改時間,大小等信息
#stat filename
4
看加載模塊
#lsmod
5
看rpc服務開放
#rpcinfo -p
6
看網卡是否混雜模式(promiscuous mod)
#dmesg|grep eth0
7
看命令是否被更改,象md5sum一樣
#rpm -Vf /bin/ls
rpm -Vf /bin/ps正常無輸出,否則輸出SM5....T /bin/su之類提示
如果rpm的數據庫被修改則不可靠了,只能通過網絡或則cdrom中的rpm數據庫來比較
如:rpm -Vvp ftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm
以下常用命令需要檢查
/usr/bin/chfn
usr/bin/chsh
/bin/login
/bin/ls
/usr/bin/passwd
/bin/ps
/usr/bin/top
/usr/sbin/in.rshd
/bin/netstat
/sbin/ifconfig
/usr/sbin/syslogd
/usr/sbin/inetd
/usr/sbin/tcpd
/usr/bin/killall
/sbin/pidof
/usr/bin/find
8
如果檢查的是已經確認被黑客攻擊的機器,完美建議:
1.dd一個備份硬盤上
2.mount 一個光驅,上面有靜態編譯好的程序ls ps netstat等常用工具
3.用nc把執行步驟輸出到遠程機器上
9
用md5sum保存一個全局的文件
find /sbin -type f|xargs md5sum >1st
檢查是否改變
md5sum -c 1st|grep OK
10
避免在已經攻擊的機器上過多寫操作,可以:
1.在另一個機器192.168.20.191上運行
nc -L -p 1234 >some_audit_output.log 注意L是大寫,可以永久偵聽
2.被攻擊機器上運行
command|nc 192.168.20.191 1234
或
script >/mnt/export.log
檢測完畢後用ctrl+d保存記錄
11
通過進程查找可疑程序方法:
1.netstat -anp 這步主要靠經驗,把可疑的都記錄下來
2.進入內存目錄 cd /proc/3299
3. ls -la,一般exe可以看到執行文件路徑,
4.再進入fd目錄查看文件句柄,至此一般都可以找出執行程序
5.ps -awx 把剛才可疑的進程觀察一遍
12
如果hacker把日志刪除了:
1.查找所有未被刪除徹底的日志,比如history,sniffer日志
2./proc/pid/fd 目錄裡提示已經刪除的文件
l-wx------ 1 root root 64 Aug 10 20:54 15 -> /var/log/httpd/error_log (deleted)
l-wx------ 1 root root 64 Aug 10 20:54 18 -> /var/log/httpd/ssl_engine_log (deleted)
l-wx------ 1 root root 64 Aug 10 20:54 19 -> /var/log/httpd/ssl_mutex.800 (deleted)
l-wx------ 1 root root 64 Aug 10 20:54 20 -> /var/log/httpd/access_log (deleted)
l-wx------ 1 root root 64 Aug 10 20:54 21 -> /var/log/httpd/access_log (deleted)
l-wx------ 1 root root 64 Aug 10 20:54 22 -> /var/log/httpd/ssl_request_log (deleted)
l-wx------ 1 root root 64 Aug 10 20:54 23 -> /var/log/httpd/ssl_mutex.800 (deleted)
lrwx------ 1 root root 64 Aug 10 20:54 3 -> /var/run/httpd.mm.800.sem (deleted)
lrwx------ 1 root root 64 Aug 10 20:54 4 -> /var/log/httpd/ssl_scache.sem (deleted)