Maison > Article > Opération et maintenance > Linux - 11 étapes pour vous apprendre à vérifier parfaitement si votre serveur a été compromis
1
La intrus peut supprimer les informations du journal de la machine, vous pouvez vérifier si les informations du journal existent toujours ou si elles ont été effacées. 2 L'intruspeut créer un nouveau fichier pour stocker les noms d'utilisateur et les mots de passeVous pouvez afficher les fichiers /etc/passwd et /etc/shadow, exemples de commandes associées :
3
4
Voir le dernier événement de connexion réussie et le dernier événement de connexion infructueux de la machinecorrespondant au log "/var/log/lastlog" , exemple de commande associé :
5
Afficher tous les utilisateurs actuellement connectés à la machinecorrespondant au fichier journal "/var/run/utmp", exemples de commandes associées :
6Affichez les utilisateurs connectés depuis la création de la machine
correspondant au fichier journal "/var/log/wtmp", exemples de commandes associées :
De plus, c'est ainsi que vous devez rechercher des comptes Linux officiels. Répondez « git books » dans le backend et recevez un paquet cadeau surprise.
7
Afficher le temps de connexion (heures) de tous les utilisateurs de la machinecorrespondant au fichier log "/var/log/wtmp", exemples de commandes associées :
8
Sivous constatez que la machine génère un trafic anormalVous pouvez utiliser la commande "tcpdump" pour capturer les paquets réseau afin de visualiser la situation du trafic ou utiliser l'outil "iperf" pour voir la situation du trafic
9
Vous pouvez consulter le fichier /var/log/securelogEssayez de découvrir les informations de l'intrus, exemples de commandes associées :
10
Interrogez le fichier de script d'exécution correspondant au processus anormalcommande a.top pour afficher le PID correspondant au processus anormal
b Recherchez le processus dans. le répertoire du système de fichiers virtuel Fichier exécutable Suivez la communauté chinoise Linux
11
S'il est confirmé que la machine a été envahie et que des fichiers importants ont été supprimés, vous pouvez essayer de récupérer les fichiers supprimés. Remarque :a. /secure, il s'avère que le fichier n'existe plus
b Utilisez la commande lsof pour vérifier s'il existe actuellement un processus d'ouverture /var/log/secure,
.d D'en haut. Il ressort des informations que vous pouvez récupérer les données en consultant /proc/1264/fd/4. Si vous pouvez afficher les données correspondantes via le descripteur de fichier, vous pouvez utiliser la redirection d'E/S pour les rediriger vers le fichier, par exemple :
Vérifiez à nouveau /var/log/secure et trouvez que The. le fichier existe déjà. Cette méthode de récupération de fichiers supprimés est très utile pour de nombreuses applications, notamment les fichiers journaux et les bases de données.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!