查看系统异常文件查看敏感目录,如/tmp目录下的文件,注意隐藏文件夹。以命名的文件夹。有隐藏属性>ls-al搜索1天内访问过的文件>find/opt-iname"*"-atime1-typef-iname不区分大小写,-atime为最后访问时间,-type文件输入checkhistory命令查看被入侵后,系统执行了哪些命令,使用root用户登录系统,查看/home目录下用户家目录的.bash_history文件。系统默认可以保存1000条历史命令,不记录命令的执行时间。根据需要进行安全强化。设置并保存10000条命令>sed-i's/HISTSIZE=1000/HISTSIZE=10000/g'/etc/profilehistory加固>vim/etc/profileUSER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`if["$USER_IP"==""]thenUSER_IP=`hostname`fiexportHISTTIMEFORMAT="%F%T$USER_IP`whoami`"#防止session免于覆盖其他session写入HISTFILE的内容shopt-shistappendexportPROMPT_COMMAND="history-a"//配置生效>source/etc/profilePROMPT_COMMANDWhatisPS1-PS4引入了一些用于提示信息控制的环境变量,以及在此之前可以回调的一个环境变量是PROMPT_COMMAND,这个环境变量中设置的内容会在交互脚本的提示符(PS1)出现之前执行。查看系统日志在Linux上,系统相关的日志一般默认放在/var/log下。如果出现问题,用户可以通过查看日志快速定位,及时解决问题。常用的日志文件如下:/var/log/btmp记录错误登录日志。这个文件是二进制文件,不能直接用vi查看。可以用lastb查看/var/log/lastlog记录了系统中所有用户最后一次成功登录的时间,这是一个二进制文件,用vi无法查看,但是/var/log/wtmp可以查看lastlog永久记录所有用户的登录和注销信息,同时记录系统启动、重启、关机事件。另外这个文件也是二进制文件,不能直接vi,需要用last命令查看。/var/log/utmp记录当前登录用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件也不能直接vi,而是要用w、who、users等命令来查询。/var/log/secure记录验证和授权信息,只要是程序中涉及到的账号和密码都会被记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户,修改用户密码都会被记录在这个日志文件中找到20个登录系统失败的账户>lastb|awk'{print$1}'|排序|uniq-c|排序-nr|head-n20locatehowmanyips正在爆破主机的root帐户排序|uniq-c|排序-nr|more查看所有重启日志信息>lastreboot查看系统正常运行时间>uptime-s查看哪些IP被爆破>grep"Failedpassword"/var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq-c检查哪些IP已成功登录>grep"Accepted"/var/log/secure|awk'{print$11}'|排序|uniq-c|排序-nr|更多成功登录日期、用户名、IP>gerp"Accepted"/var/log/secure|awk'{print$1,$2,$3,$9,$11}'原文链接:https://rumenz.com/rumenbiji/...微信公众号:入门站
