linux系统安全排查方法

最近对公司部分服务器进行了一下安全排查，因此利用此机会整理一下linux系统安全检查策略。
1ssh后门
检察语句:
grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al

检察方法:如发现以下三个的其中一个请截图并记录,基本确定为存在后门

usr/bin/slogin
usr/bin/ssh
usr/sbin/sshd

2nginx后门
检察语句: grep "pwnginx=" `which nginx` -al

检察方法: 如果搜出来东西基本可以确定存在后门,请截图并记录.
没有安NGINX的话可以CTRL+C退出查询

3日志搜索
检察语句:  
more /var/log/messages* |grep drawing
more /var/log/messages* | grep glistering
more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'

检察方法:以上前两个检察语句,如搜到,如下
withdrawing address record for *.*.*.* on eth2
以及
registering new address record for *.*.*.* on em2.IPV4
等类似网卡修改信信息，如有非本机的ip地址,请记录.

以下是more /var/log/secure* |grep -e 'Failed password' -e ' Accepted password'
搜索出来的登陆成功和失败的截图,请详细排查不认识的IP,并记录时间和IP.

4检察异常帐户
检察语句:
more /etc/passwd
more /etc/sudoer

检察方法: 查看用户标识号:组标识号 如果其中有一个为0 即为异常用户(除了ROOT和自己建立的)。另外查看/etc/sudoer文件是否有其他用户  如:

5登陆IP 和时间
检察语句:
who /var/log/wtmp

检察方法:查看异常登陆时间和IP,如有异常请记录时间IP

6异常端口检察
检察语句:
netstat -an

检察方法:查看异常连接本机的IP和不认识的端口.如果问题请记录.

7网卡查询
检察语句:
ifconfig

检察方法:如有异常,如网卡子接口等非自己配置的,请记录