집 >운영 및 유지보수 >리눅스 운영 및 유지 관리 >Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계
1
intruder는 기계의 로그 정보를 삭제할 수 있습니다. 로그 정보가 여전히 존재하는지 또는 관련 명령 예제를 확인할 수 있습니다 2 침입자가 사용자 이름과 비밀번호를 저장하기 위해 새 파일을 생성할 수 있습니다./etc/passwd 및 /etc/shadow 파일과 관련 명령 예를 볼 수 있습니다.
3
4
View 로그 "/var/log/lastlog"에 해당하는 머신의 최근 성공적인 로그인 이벤트 및 마지막 실패한 로그인 이벤트, 관련 명령 예:
5
로그 파일 "/var/run/utmp"에 해당하는 machine에 현재 로그인한 모든 사용자 보기, 관련 명령 예:
6
로그 파일 "/var/log/wtmp"에 해당하는 머신 생성 이후 로그인한 사용자보기, 관련 명령 예:
추가로, 공식 리눅스 계정을 검색하는 방법은 다음과 같습니다. 백엔드에 "git books"라고 답하고 깜짝 선물 패키지를 받으세요.
7
로그 파일 "/var/log/wtmp"에 해당하는 시스템의 모든 사용자의 연결 시간(시간)을 확인합니다. 관련 명령 예:
8
기기가 비정상적인 트래픽을 생성하는 것을 발견한 경우"tcpdump" 명령을 사용하여 네트워크 패킷을 캡처하여 트래픽 상황을 보거나 "iperf" 도구를 사용하여 교통 상황 보기
9
/var/log/secure로그 파일을 확인하여 침입자의 정보와 관련 명령 예를 찾아보세요.
10
비정상 프로세스에 해당하는 실행 스크립트 파일을 조회a.top 명령으로 비정상 프로세스에 해당하는 PID를 조회
b에서 해당 프로세스를 검색해 보세요. 가상 파일 시스템 디렉터리 실행 파일 Linux 중국어 커뮤니티 팔로우
11
머신이 침입하여 중요한 파일이 삭제된 것이 확인되면 삭제된 파일을 검색할 수 있습니다. 참고:a /var/log를 봅니다. /secure 파일, 해당 파일이 더 이상 존재하지 않는 것으로 확인되었습니다.
b lsof 명령을 사용하여 현재 /var/log/secure를 여는 프로세스가 있는지 확인하세요.
d할 수 있습니다. /proc/1264/fd/4를 보면 복구할 데이터를 얻을 수 있다는 정보가 나와 있습니다. 파일 설명자를 통해 해당 데이터를 볼 수 있는 경우 I/O 리디렉션을 사용하여 다음과 같이 파일로 리디렉션할 수 있습니다.
e /var/log/secure를 다시 확인하고 다음을 찾으세요. 존재하는 파일입니다. 삭제된 파일을 복구하는 이 방법은 많은 응용 프로그램, 특히 로그 파일과 데이터베이스에 매우 유용합니다.
위 내용은 Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!