一、检查系统日志
lastb //检查系统错误登陆日志,统计IP重试次数
二、检查系统用户
1、cat /etc/passwd //查看是否有异常的系统用户 2、grep "0" /etc/passwd //查看是否产生了新用户,UID和GID为0的用户 3、ls -l /etc/passwd //查看passwd的修改时间,判断是否在不知的情况下添加用户 4、awk -F : '$3==0 {print $1}' /etc/passwd //查看是否存在特权用户 5、awk -F : 'length($2)==0 {print $1}' /etc/shadow //查看是否存在空口令帐户
三、检查异常进程
//1、注意UID为0的进程 ps -ef //2、察看该进程所打开的端口和文件 lsof -p pid //3、检查隐藏进程 ps -ef | awk '{print }' | sort -n | uniq >1 ls /proc |sort -n|uniq >2 diff 1 2
四、检查异常系统文件
find / -uid 0 –perm -4000 –print find / -size +10000k –print find / -name '...' -print find / -name '.. ' -print find / -name '. ' -print find / -name ' ' -print
五、检查系统文件完整性
rpm -qf /bin/ls rpm -qf /bin/login md5sum –b 文件名 md5sum –t 文件名
六、检查网络
ip link | grep PROMISC //(正常网卡不该在promisc模式,可能存在sniffer) lsof –i netstat -anp //(察看不正常打开的TCP/UDP端口) ss arp -a
七、检查系统计划任务
crontab -u root -l cat /etc/crontab ls /etc/cron.*
八、检查系统后门
cat /etc/crontab ls /var/spool/cron/ cat /etc/rc.d/rc.local ls /etc/rc.d ls /etc/rc3.d
九、检查系统服务
chkconfig --list rpcinfo -p(查看RPC服务)
十、检查rootkit
rkhunter --check //(若无,yum install rkhunter) chkrootkit -q
linux入侵检测工具
1,AIDE
2,RKHunter
相关推荐
"Linux入侵检测系统的设计" 本文主要介绍了Linux平台下的入侵检测系统的设计原理和整体框架,同时也阐述并实现了入侵过程,以及相应的规则解析引擎。提出了将应用协议分析方法应用到网络入侵检测中,实现基于应用的...
在网络安全领域,Linux入侵检测是保护系统免受恶意攻击的关键环节。Linux系统因其开源、稳定和安全性而被广泛应用于各种服务器环境。然而,这并不意味着它们完全免疫黑客攻击。因此,理解和实施有效的Linux入侵检测...
Linux入侵检测方法及系统安全建议主要关注的是保护Linux操作系统免受恶意攻击和保障系统稳定运行。随着信息技术的快速发展,Linux因其开源、稳定和高效的特点,成为许多业务系统的基础平台,尤其是气象部门。然而,...
linux入侵检测源代码基于libnids的非常简单的功能,实现了端口扫描,tcp,udp异常数据包的检测 要两台linux系统联网,用nmap扫描
基于改进的BM算法在Linux入侵检测系统中的应用 BM算法(Boyer-Moore算法)是一种精确字符匹配算法,被广泛应用于入侵检测系统中。本文研究了BM算法在Linux入侵检测系统中的应用,通过改进BM算法,提高了入侵检测...
Linux入侵检测系统的实现.pdf Linux入侵检测系统是指使用Linux操作系统作为平台,实现入侵检测功能的系统。该系统的主要目的是检测和防止黑客攻击、病毒和恶意软件等网络攻击。 Linux入侵检测系统的设计原理和整体...
基于 Linux 入侵检测系统的设计与实现 本论文主要介绍了基于 Linux 入侵检测系统的设计与实现,旨在提高网络安全防御能力。下面是相关的知识点: 一、入侵检测概况 * 入侵检测是指对计算机系统或网络中可疑活动的...
"基于系统调用监控的Linux入侵检测模型设计" Linux 操作系统作为一个开源的操作系统,在互联网上广泛流行,然而,随着互联网的发展,入侵攻击行为也变得越来越频繁。为了保护Linux系统的安全,入侵检测技术变得...
基于LINUX入侵检测系统分析.pdf
本文总结了基于Linux的入侵检测系统的设计与实现,涵盖了入侵检测技术的相关概念、Snort入侵检测系统的捕包机制和分析、Linux入侵检测系统模型的设计和实现、实验验证等内容。 知识点1:入侵检测技术的相关概念 ...
根据提供的文件信息,我们可以构建一个基于Red Hat Linux 9系统的简易入侵检测系统(Intrusion Detection System, IDS)。本文将详细介绍所需组件的安装与配置过程,并解析如何利用这些工具搭建一个基本的IDS环境。 ...
Linux入侵检测系统安全性分析.pdf
基于Linux入侵检测动态防火墙的设计与实现.pdf
2. **Linux入侵检测**:在Linux环境中,入侵检测可能涉及审计日志分析、文件完整性检查、网络流量监控等。例如,利用`auditd`服务进行系统调用跟踪,使用`tripwire`检查文件系统完整性,通过`Snort`等工具监测网络...
让我们深入探讨一下UNIX/Linux入侵检测系统以及"rst"工具的相关知识。 入侵检测系统的主要目标是识别并响应那些违反安全策略或者表现出恶意行为的网络和系统活动。在UNIX/Linux环境中,由于其开放源代码的特性,有...
在 Linux 系统下构建 Snort 入侵检测系统 Snort 是一个开源的入侵检测系统(IDS),它可以实时检测网络中的入侵行为,并对其进行响应。Snort 的主要组件包括数据包解析器、检测引擎和日志/警报三个子系统。数据包...
Linux 入侵检测系统搭建指南 一、环境准备 在搭建 Linux 入侵检测系统(IDS)之前,需要准备以下环境: 1. 安装 Centos6 操作系统,并设置 NAT 获取,让系统可以连接互联网。 2. 安装 wget 工具,因为 Centos6 ...