排查Linux系统入侵：常用工具与异常检测

本文档主要介绍了如何在Linux服务器上进行系统安全检查，以确认是否存在入侵迹象。以下是根据提供的部分命令及其描述总结出的关键知识点： 1. **密码文件检查**：首先，通过运行`less /etc/passwd` 和 `grep` 命令检查用户账户的UID和GID，确保没有异常的0值。然后使用`awk` 来筛选出具有特定权限或长度条件的账户。 2. **历史记录分析**：通过`last` 命令查看系统登录日志，寻找可能的非正常登录行为，如未经授权的进入（promiscuous mode）和异常的RPC程序调用。 3. **进程和文件占用**：利用`ps -aux` 和 `lsof` 命令检查与UID 0相关的进程，以及可能存在的可疑进程。同时，通过`inetd.conf` 文件检查是否有未注释的服务配置，防止恶意服务的启用。 4. **系统活动和文件差异**：使用`ps`, `ls`, `diff` 和 `find` 命令对比不同目录下的文件数量、大小、名称等，查找是否存在新增、删除或修改的文件，特别是SUID（Set-User-ID）文件和核心转储文件。 5. **软件包和文件完整性**：通过`rpm` 命令检查已安装软件包的版本和MD5校验，确认是否有恶意软件或篡改。`md5sum` 和 `rpm` 的组合用于验证二进制文件的完整性。 6. **权限和所有权变化**：通过`find` 命令检测文件权限、设备号、链接路径、用户和组所有权的变化，这些可能是潜在入侵的标志。 7. **时间戳比较**：检查文件的修改时间，确认是否存在非授权的改动。 8. **关键目录监控**：关注`/sbin`, `/bin`, `/usr/sbin`, 和 `/usr/bin` 这些常用执行目录，以防恶意脚本的运行。 通过这些步骤，系统管理员可以细致地检查Linux服务器，发现可能的入侵行为。然而，仅凭这些命令可能不足以确定入侵，还需要结合其他安全工具和日志审计工具进行全面的安全评估。同时，定期更新系统和应用补丁，实施强密码策略和防火墙规则也是防止入侵的重要手段。