linux给入侵 linux入侵排查

本文目录一览：

• 1、Linux系统主机服务器被入侵后怎么办
• 2、对于linux系统来说,入侵者要访问系统的第一件事是去获取什么权限_百度...
• 3、Linux服务器被rootkit恶意软件攻击后的处理方法
• 4、大事不好!Linux.org被黑,或因众人不满其行为准则
• 5、Linux如何判断自己的服务器是否被入侵
• 6、Linux系统被入侵后如何使用lsof命令恢复被删除日志

Linux系统主机服务器被入侵后怎么办

1、第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析，另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径，然后在执行命令的时候指定此命令的完整路径即可，这里采用第二种方法。

2、不能关闭服务器，不能关闭相关服务或进程，如恢复apache的访问日志 /var/log/httpd/access_log ，不能关闭或者重启服务器系统，也不能重启httpd服务。

3、在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

对于linux系统来说,入侵者要访问系统的第一件事是去获取什么权限_百度...

Linux系统最近被找出两个漏洞，一个是与甲骨文所贡献的RDS（Reliable Datagram Sockets）协定有关，另一个则与GNU C的数据库有关，均可能让入侵的黑客取得Linux系统的最高管理人员权限（Root）。

对于入侵者来说，要做的第一件事就是清除入侵的痕迹。这需要入侵者获得root权限，而一旦系统日志被修改，就无法追查到攻击的情况。因此，好的系统管理员应该建立日志文件检测。有很多工具可以实现日志检测的功能，其中就有Logcheck和Swatch。本文将对Logcheck和Swatch逐一进行介绍。

获取系统管理权限通常有以下途径：获得系统管理员的口令，如专门针对root用户的口令攻击；利用系统管理上的漏洞：如错误的文件许可权，错误的系统配置，某些SUID程序中存在的缓冲区溢出问题等；让系统管理员运行一些特洛伊木马，如经篡改之后的LOGIN程序等。

Linux服务器被rootkit恶意软件攻击后的处理方法

1、第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析，另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径，然后在执行命令的时候指定此命令的完整路径即可，这里采用第二种方法。

2、若发现电脑被恶意软件感染，第一步正确的处理方法是立即停止使用计算机，断开网络和电源连接。这一操作的核心目的是阻止病毒进一步传播或破坏系统，具体原因和操作要点如下： 立即断网：阻断病毒传播路径恶意软件常通过联网功能窃取数据、下载更多恶意程序或攻击其他设备。

3、通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。

4、永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

大事不好!Linux.org被黑,或因众人不满其行为准则

1、Linux.org被黑，或因众人不满其行为准则 12月7日上午11时17分，Linux的官方网站http：//linux.org遭到了黑客入侵，主页被替换成了一个带有侮辱性质的黑页。这一事件迅速引起了广泛关注。

Linux如何判断自己的服务器是否被入侵

检查系统用户：通过cat /etc/passwd查看系统用户列表，注意是否有异常用户。使用grep “0” /etc/passwd查找UID和GID为0的用户，通常是root用户，需确认其合法性。通过ls -l /etc/passwd查看passwd文件的修改时间，判断是否在不知情的情况下被修改。

可以看到它所使用的文件是 /usr/sbin/in.telnetd，检查该文件的完整性，入侵者往往通过替换守护进程中允许的服务文件来为自己创建一个后门。 LINUX系统中的/etc/crontab也是经常被入侵者利用的一个文件，检查该文件的完整性，可以直接cat /etc/crontab，仔细阅读该文件有没有被入侵者利用来做其他的事情。

检查弱口令：首先检查服务器管理员账号（如administrator）、Mysql数据库密码、网站后台管理员密码等是否使用了弱口令。弱口令是黑客攻击的常见入口，因此必须确保所有密码都足够复杂且定期更换。检查恶意账号：通过计算机管理或CMD命令（如net user）查看当前账号列表，检查是否存在恶意账号或新添加的未知账号。

Linux系统被入侵后如何使用lsof命令恢复被删除日志

我们先通过wc或者tail命令查看日志信息，然后再将日志重写到access_log中即可。在Linux系统的/proc 分区下保存着进程的目录和名字，包含fd(文件描述符)和其下的子目录(进程打开文件的链接)，那么如果删除了一个文件，还存在一个 inode的引用：/proc/进程号/fd/文件描述符。

=== 查找谁在使用文件系统 ===在卸载文件系统时，如果该文件系统中有任何打开的文件，操作通常将会失败。

Linux日志默认保存在/var/log下，被入侵者删除日志后，使用lsof命令可查找使用文件的进程PID和文件描述符，进而恢复被删除的日志。总结：lsof作为Linux系统诊断工具，允许用户查看核心内存使用情况，获取系统如何使用文件的详细信息。

查找使用文件系统的实例： 命令：# lsof /GTES11/ 说明：此命令用于确定当前正在使用指定文件系统的进程。 输出信息：包括与指定目录相关的进程、进程ID、用户、文件类型等信息。 作用：帮助用户了解哪些进程占用了资源，确保在卸载文件系统前可以终止这些进程，从而防止文件系统被卸载时发生错误。

高级用法： 恢复被删除的日志：使用lsof命令查找使用被删除日志文件的进程PID和文件描述符，进而尝试恢复。总结：lsof允许用户查看核心内存使用情况，获取系统如何使用文件的详细信息。通过简单和高级用法，用户可以收集关于应用程序工作情况的信息，以及在可能损害数据的操作前确保文件未被使用。

此时可以使用lsof n | grep delete检查占用已删除文件的进程，并杀死该进程以释放空间。恢复已删除文件：在某些情况下，如果进程仍然存在，可以尝试利用lsof恢复已删除的文件。例如，通过查看进程的文件描述符，可能有机会恢复被误删的系统日志等文件。