判断Linux系统是否被入侵，你需要几步？9个小技巧分享！(2)

五、检查系统文件的完整性

​系统文件的完整性是入侵检测的重要方面，尤其通过对一些常用系统命令的md5值的检查，可以判断系统是否被入侵，比如ls,ping等 这些常用 的命令被恶意程序篡改后，我们在执行这些系统命令的时候，实际上在执行恶意程序。

5.1 检查linux系统文件的完整性

尤其注意以下几个目录 /sbin,/bin,/usr/bin

例如： 
# whereis ls 
# md5sum /usr/bin/ls 

当然也可以写成脚本的形式，对批量生成系统文件md5值与正常系统做比对，如果md5值与正常系统不一样。那说明你的系统可能被入侵了。

5.2 利用工具AIDE检查系统文件的完整性

​通过手动检查系统文件的md5方面，效率不是很高，可以通过AIDE软件来辅助检查系统文件的完整性，该软件的具体使用方法详见官方文档

六、检查网络

​网络方面通过检查网卡的是不是处于混杂模式，检查系统中网络监听的端口，对于一些非系统，非业务的端口尤其是要重点关注。

6.1 检查网卡模式

# ip link | grep PROMISC（正常网卡不该在promisc混杂模式，可能存在sniffer） 
网卡处于混杂模式，这样通过网卡的流量都会被监听 

6.2 检查恶意程序开放的端口及打开的文件

#netstat -ntlup  
#lsof -i: 端口号 

七、检查系统计划任务

​系统的定时任务也是入侵检测的重要方面，有些恶意的程序通过系统的计划任务，定时调度任务，通过对定时任务的检查，可以发现一些被入侵的重要信息。

# crontab –u root –l 
# cat /etc/crontab 
# ls /etc/cron.* 

注意：

root和UID是0的schedule

八、检查系统服务

8.1 centos 6版本

查看系统启动的服务

# chkconfig —list 

8.2 centos 7版本

​这个主要检测的是启动服务，目前在centos7以上都采用systemd 来管理相应的服务。Systemd是一个系统管理守护进程、工具和库的集合，用于取代System V初始进程。Systemd的功能是用于集中管理和配置类UNIX系统。

查看所有的可用单元# systemctl list-unit-files

九、检查rootkit

9.1 通过rkhunter检查

通过rkhunter输出的信息提示，是判断系统是否被rootkit的要重要手段，除OK之外的提示是重点关注的对象。

# rkhunter -c 

参数说明：

-c:检查本地文件系统

9.2通过chkrootkit 检查

# chkrootkit -q 

9.3 通过Tripwire检查

具体使用方法详见官方文档资料https://www.tripwire.com/，这里就不作详细介绍。

【编辑推荐】

1. 腾讯重磅开源DCache，分布式NoSQL存储系统
2. 如何识别Linux上的文件分身
3. 初级：如何在Linux中zip压缩文件和文件夹
4. Rancher 推出 k3OS，业界首个 Kubernetes 操作系统
5. Linux中面向云的三款加密工具

（编辑：ASP站长网）