1、检查cat /etc/passwd这个文件里面有没有异常用户名
2、通过命令top查看是否有异常进程,按M键对进程进行排序
3、通过命令netstat -lnpt,查看是否有异常端口号
4、通过命令ll -a /proc/PID,查看异常进程执行文件所在位置
5、通过命令kill -9 PID,杀掉该进程
6、通过命令find /usr/local -mmin -2880,查看最近2天修改过数据的文件
7、通过命令find /usr/local -cmin -2880,查看最近2天修改过状态的文件
8、通过命令find /usr/local -amin -2880,查看最近2天被读取过的文件
9、CentOS系统自带的chcon工具只能修改文件、目录等的文件类型和策略,无法对端口、消息接口和网络接口等进行管理,semanage能有效胜任SELinux的相关配置工作。
10、通过命令yum install semanage,安装semanage
11、如果报错找不到semanage命令,就用yum provides semanage,接着yum install -y policycoreutils-python
12、通过命令semanage port -l | grep http,查看http服务占用的端口号,http换成数字也可以
13、命令:last或last -x -F
查看所有SSH登陆日志 包括IP,输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。注意最后一行输出的是wtmp文件起始记录的时间。当然也可以通过last -f参数指定读取文件
14、查看在线用户情况
(1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,也可指定用户名称,仅显示某位用户的相关信息
(2)who am i 显示出口IP地址,该地址用于SSH连接的源IP
15、lastlog 列出所有用户最近登录的信息
lastlog引用的是/var/log/lastlog文件中的信息,包括login-name、port、last login time
16、astb 列出失败尝试的登录信息
和last命令功能完全相同,只不过它默认读取的是/var/log/btmp文件的信息。
17、SSH登录日志分析
检查/var/log目录下的secure(CentOS),存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段)。
cat /var/log/secure |more
less /var/log/secure|grep 'Accepted'
18、/var/log/其他日志说明:
/var/log/secure 登陆信息
/var/log/maillog mail记录
/var/log/utmp
/var/log/wtmp登陆记录信息(last命令即读取此日志)
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/gdali/article/details/129101667