Linux服务器被黑客攻击，安全检查方法_centos 被黑客ssh登陆,查看操作

最新推荐文章于 2026-06-22 22:05:57 发布

原创最新推荐文章于 2026-06-22 22:05:57 发布 · 313 阅读

9 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

标签

#网络安全 #学习 #面试

程序员专栏收录该内容

161 篇文章

订阅专栏

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

# cat /etc/crontab 
# ls /var/spool/cron/ ; crontab -l #查看定时任务是否被修改
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000 #查看是否为管理员增加或者修改

十、查看临时目录是否存在攻击者入侵时留下的残余文件

#tail -n 100 ~/.bash\_history | more

#是否存在.c .py .sh为后缀的文件或者2进制elf文件
ls -la /tmp
ls -la /var/tmp
find / -name \*.elf | xargs ls -l

十一、在web目录下运行

#查看是否有木马
grep -r "getRuntime" ./

#运行的时候被连接或者被任何程序调用
find . -type f -name "\*.jsp" | xargs grep -i  "getRuntime"

#返回ip地址字符串
find . -type f -name "\*.jsp" | xargs grep -i  "getHostAddress"

#创建WshShell对象可以运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量
find . -type f -name "\*.jsp" | xargs grep -i  "wscript.shell"

#gethostbyname()返回对应于给定主机名的包含主机名字和地址信息的hostent结构指针
find . -type f -name "\*.jsp" | xargs grep -i  "gethostbyname"

#调用系统命令提权
find . -type f -name "\*.jsp" | xargs grep -i  "bash"

#Jsp木马默认名字
find . -type f -name "\*.jsp" | xargs grep -i  "jspspy"

#检查是否有非授权访问管理日志
find . -type f -name "\*.jsp" | xargs grep -i  "getParameter"

#要进中间件所在日志目录运行命令
fgrep –R "admin\_index.jsp" 20170702.log > log.txt   #递归地读取每个目录下的所有文件

#查看是否出现对应的记录
fgrep –R "and1=1" \*.log > log.txt
fgrep –R "select " \*.log > log.txt
fgrep –R "union " \*.log > log.txt
fgrep –R "../../" \*.log > log.txt
fgrep –R "Runtime" \*.log > log.txt
fgrep –R "passwd" \*.log > log.txt

#查看是否有shell攻击
fgrep –R "uname -a" \*.log > log.txt
fgrep –R "id" \*.log > log.txt
fgrep –R "ifconifg" \*.log> log.txt
fgrep –R "ls -l"  \*.log > log.txt

十二、安装chrootkit,检查是否有rootkit
rootkit是入侵者经常使用的工具,这类工具可以隐秘、令用户不易察觉的建立了一条能够总能够入侵系统或者说对系统进行实时控制的途径。

yum install -y glibc-static
mkdir chrootkit
cd chrootkit/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz 
cd chkrootkit-0.52/
make sense       #编译
./chkrootkit     #检测命令，若出现INFECTED那就要小心了(./chkrootkit | grep INFECTED)

检测脚本,放到定时任务里面即可

#!/bin/bash
#sript name：chkrootkit.sh

TOOLKITSPATH=/usr/local
MAILUSER=root@localhost
file_chkrootkit_log=chkrootkitcron.log
servername=`hostname`
date=`date +%Y-%m-%d`

cd ${TOOLKITSPATH}/chkrootkit
./chkrootkit > ${file\_chkrootkit\_log}
[ ! -z "$(grep INFECTED ${file\_chkrootkit\_log})" ] && \
grep INFECTED ${file\_chkrootkit\_log} | mail -s "[chkrootkit] report in ${servername} ${date}" ${MAILUSER}

备注：登录的时候提示信息在 /etc/motd 文件里面

十三、bash shell 漏洞
1、测试代码，有问题的

[root@localhost ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

2、修复(下面是参考网上的东西，不知道效果怎么样)

[root@localhost ~]# yum -y install yum-downloadonly
[root@localhost ~]# yum -y install bash-4.1.2-33.el6\_7.1.x86\_64.rpm

3、重新测试

[root@localhost ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

#备注
当我们输入 env x='() { :;}; echo vulnerable';  bash -c "echo this is a test"  又可以出来不一样的效果

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取