应急响应--Linux入侵检查思路及防御

文章预览

1、检查系统用户 命令 说明 cat /etc/passwd 查看是否有异常的系统用户 /etc/passwd 是一个文本文件，其中包含了登录 Linux 系统所必需的每个用户的信息。它保存用户的有用信息。 如 命令 说明 cat  /etc/shadow 存储 Linux 系统中用户的密码信息，又称为“影子文件” 早期的 UNIX 密码放在 /etc/passwd 文件中，由于该文件允许所有用户读取，易导致用户密码泄露，因此将密码从 /etc/passwd 文件中分离出来，并单独放到了此文件中。/etc/shadow 文件只有 root 用户拥有读权限，保证了用户密码的安全性。 如：用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留 哈希密码可以使用john进行破解 入侵排查其他常用命令 命令 说明 grep "0" /etc/passwd 查看是否产生了新 ………………………………