Linux入侵排查

IP及版本
1. 　　IP地址
2. 　　版本信息
  1. 　　系统内核版本
  2. 系统发行版本
3. 　　ARP
  1. 　　ARP表
  2. ARP攻击
端口情况
1. 　　开放端口
  1. 　　TCP开放端口
  2. UDP开放端口
2. 　　TCP高危端口
3. UDP高危端口
网络连接
网卡模式
自启动项
1. 　　用户自定义启动项
2. 系统自启动项
定时任务
1. 　　系统定时任务
  1. 时间看系统定时任务
  2. 分析可疑系统定时任务
2. 用户定时任务
  1. 　　时间看用户定时任务
  2. 分析可疑用户定时任务
路由与路由转发
进程分析
1. 　　系统进程
2. 守护进程
关键文件检查
1. 　　DNS文件
2. hosts文件
3. 公钥文件
4. 私钥文件
运行的服务
登录情况
用户与用户组
1. 　　超级用户
2. 克隆用户
3. 可登录用户
4. 非系统用户
5. shadow文件
6. 空口令用户
7. 空口令且可登录
8. 口令未加密
9. 用户组分析
  1. 　　用户组情况
  2. 特权用户
  3. 相同UID用户组
  4. 相同用户组名
10. 　　文件权限
  1. 　　etc文件权限
  2. shadow文件权限
  3. passwd文件权限
  4. group文件权限
  5. securetty文件权限
  6. services文件权限
  7. grub.conf文件权限
  8. xinetd.conf文件权限
  9. lilo.conf文件权限
  10. limits.conf文件权限
历史命令
1. 　　系统历史命令
  1. 　　系统操作历史命令
  2. 是否下载过脚本文件
  3. 是否增加过账号
  4. 是否删除过账号
  5. 历史可疑命令
  6. 本地下载文件
2. 　　数据库历史命令
策略与配置
1. 　　防火墙策略
2. 远程访问策略
  1. 　　远程允许策略
  2. 远程拒绝策略
3. 　　账号与密码策略
  1. 　　密码有效期策略
  2. 密码复杂度策略
  3. 密码已过期用户
  4. 账号超时锁定策略
  5. grub密码策略检查
  6. lilo（Linux Loder--Linux引导程序）密码策略检查
4. 　　seliunx设置
5. sshd配置
  1. 　　sshd配置
  2. 空口令登录
  3. root远程登录
  4. ssh协议版本
6. 　　NIS配置
7. Nginx配置
  1. 　　原始配置
  2. 可疑配置
8. 　　SNMP配置检查
可疑文件
1. 　　脚本文件
2. 恶意文件
3. 最近变动的文件
4. 文件属性
  1. 　　passwd文件属性
  2. shadow文件属性
  3. 　 gshadow文件
  4. group文件属性
系统文件完整性
系统日志分析
1. 　　日志配置与打包
  1. 查看日志配置
  2. 日志是否存在
  3. 日志审核是否开启
  4. 自动打包日志
2. secure日志分析
  1. 　　成功登录
  2. 登录失败
  3. 图形登录情况
  4. 新建用户与用户组
3. 　　message日志分析
  1. 　　传输文件
  2. 历史使用DNS
4. 　　cron日志分析
  1. 　　定时下载
  2. 　　定时执行脚本
5. 　　yum日志分析
  1. 　　下载软件情况
  2. 　　卸载软件情况
  3. 　　可疑软件
6. 　　dmesg日志分析
  1. 　　内核自检分析
7. 　　btmp日志分析
  1. 　　错误登录分析
8. 　　lastlog日志分析
  1. 　　所有用户最后一次登录分析
9. 　　wtmp日志分析
  1. 　　所有用户登录分析
内核检查
1. 　　内核信息
2. 异常内核
软件安装
1. 　　安装软件
2. 可疑软件
环境变量
性能分析
1. 　　磁盘使用
  1. 　　磁盘使用情况
  2. 　　磁盘使用过大
2. 　　CPU
  1. 　　CPU情况
  2. 占用CPU前五
  3. 占用CPU过多
3. 　　内存
  1. 　　内存情况
  2. 占用内存前去进程
  3. 占用内存过多进程
4. 　　网络连接
  1. 　　并发连接
5. 　　其他
  1. 　　运行时间及负载情况
共享情况

posted @ 2022-09-25 20:09 田家少闲月- 阅读(34) 评论(0) 编辑收藏举报

刷新页面返回顶部

田家少闲月-

Linux入侵排查

公告