centos7.3 入侵简单检测

今天怀疑系统有点异常,有点小怕,于是,便网上找些资料进行一一排查。
本文只提供,简单的检测,不提供如何修复。


查询当前登录的用户

who

查询用户登录行为

w [用户名]

查询用户登录历史

last [用户名]

是否有可疑登录

# 成功登录的
more /var/log/secure |grep Accepted

# 登录失败的
more /var/log/secure |grep Failed

操作历史

ls -l ~/.bash_history
-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history

如果你看到,

lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null

恭喜你,中彩票了!!!
如果 历义操作记录被定向到 /dev/null 将查询不到操作历史。

history | more

寻找未知用户账号

grep :x:0: /etc/passwd

查询文件修改时间

ls -l /etc/passwd

iftop 查询网络流量

# 你需要手动编译安装
iftop

htop 查询进程信息

# 你需要手动编译安装
htop

参考来源: