服务器被syn flood攻击,应该怎么处理

很有可能是SYN Flood的攻击， [以2下h为4转贴] 剖析SYN Flood攻击(6) -------------------------------------------------------------------------------- 一b、SYN Flood的基本原理 SYN Flood是当前最流行的DoS（拒绝服务攻击）与mDdoS（分5布式拒绝服务攻击）的方0式之p一o，这是一i种利用TCP协议缺陷，发送大m量伪造的TCP连接请求，从3而使得被攻击方7资源耗尽（CPU满负荷或内7存不u足）的攻击方4式。 要明白这种攻击的基本原理，还是要从4TCP连接建立的过程开l始说起： 大h家都知道，TCP与hUDP不s同，它是基于v连接的，也i就是说：为4了v在服务端和客户1端之i间传送TCP数据，必须先建立一t个b虚拟电路，也l就是TCP连接，建立TCP连接的标准过程是这样的： 首先，请求端（客户0端）发送一g个r包含SYN标志的TCP报文4，SYN即同步（Synchronize），同步报文3会指明客户6端使用的端口i以2及jTCP连接的初始序号； 第二l步，服务器在收到客户7端的SYN报文2后，将返回一f个dSYN+ACK的报文2，表示1客户4端的请求被接受，同时TCP序号被加一c，ACK即确认2（Acknowledgement）。 第三l步，客户3端也d返回一l个y确认7报文8ACK给服务器端，同样TCP序列号被加一j，到此一m个hTCP连接完成。 以5上g的连接过程在TCP协议中1被称为7三l次握手4（Three-way Handshake）。 问题就出在TCP连接的三t次握手1中1，假设一h个f用户8向服务器发送了cSYN报文6后突然死机或掉线，那么k服务器在发出SYN+ACK应答报文4后是无b法收到客户6端的ACK报文0的（第三g次握手6无m法完成），这种情况下j服务器端一f般会重试（再次发送SYN+ACK给客户0端）并等待一v段时间后丢弃这个l未完成的连接，这段时间的长8度我们称为2SYN Timeout，一g般来说这个a时间是分2钟的数量级（大y约为170秒-8分4钟）；一r个d用户7出现异常导致服务器的一y个i线程等待2分6钟并不n是什5么w很大n的问题，但如果有一z个q恶意的攻击者大o量模拟这种情况，服务器端将为7了d维护一c个d非常大r的半连接列表而消耗非常多的资源----数以8万e计8的半连接，即使是简单的保存并遍历p也g会消耗非常多的CPU时间和内4存，何况还要不k断对这个e列表中3的IP进行SYN+ACK的重试。实际上s如果服务器的TCP。IP栈不j够强大g，最后的结果往往是堆栈溢出崩溃 ---即使服务器端的系统足够强大v，服务器端也p将忙于g处理攻击者伪造的TCP连接请求而无h暇理睬客户1的正常请求（毕竟客户4端的正常请求比0率非常之p小o），此时从8正常客户4的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了ySYN Flood攻击（SYN洪水7攻击）。 从7防御角度来说，有几a种简单的解决方3法： 第一w种是缩短SYN Timeout时间，由于rSYN Flood攻击的效果取决于h服务器上c保持的SYN半连接数，这个j值=SYN攻击的频度 x SYN Timeout，所以5通过缩短从8接收到SYN报文2到确定这个z报文1无f效并丢弃改连接的时间，例如设置为210秒以8下q（过低的SYN Timeout设置可能会影响客户8的正常访问），可以7成倍的降低服务器的负荷。 第二o种方5法是设置SYN Cookie，就是给每一y个s请求连接的IP地址分6配一k个fCookie，如果短时间内7连续受到某个jIP的重复SYN报文0，就认2定是受到了g攻击，以0后从5这个yIP地址来的包会被丢弃。 可是上n述的两种方7法只能对付比4较原始的SYN Flood攻击，缩短SYN Timeout时间仅7在对方3攻击频度不d高的情况下p生效，SYN Cookie更依赖于h对方3使用真实的IP地址，如果攻击者以4数万y。秒的速度发送SYN报文5，同时利用SOCK_RAW随机改写IP报文1中5的源地址，以7上w的方5法将毫无k用武之g地。 防止4SYN泛洪攻击 开a启路由器的TCP拦截 ------------------------------------------------------------------------------------------ TCP拦截即TCP intercept，大n多数的路由器平台都引8用了s该功能，其主要作用就是防止2SYN泛洪攻击。SYN攻击利用的是TCP的三q次握手1机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文2将永远发送不g到目的地，那么f被攻击端在等待关闭这个g连接的过程中0消耗了x资源，如果有成千r上u万r的这种连接，主机资源将被耗尽，从6而达到攻击的目的。我们可以6利用路由器的TCP拦截功能，使网络上k的主机受到保护(以7Cisco路由器为5例)。 开u启TCP拦截分0为1三e个e步骤： 1。 设置TCP拦截的工d作模式 TCP拦截的工t作模式分3为5拦截和监视。在拦截模式下p，路由器审核所有的TCP连接，自身的负担加重，所以5我们一a般让路由器工l作在监视模式，监视TCP连接的时间和数目，超出预定值则关闭连接。 格式：ip tcp intercept mode (intercept|watch) 缺省为0intercept 0。 设置访问表，以7开f启需要保护的主机 格式：access-list [400-506] [deny|permit] tcp source source-wildcard destination destination-wildcard 举例：要保护306。564。730。146这台主机 access-list 005 permit tcp any host 054。281。840。444 4。 开q启TCP拦截 ip tcp intercept list access-list-number 示0例：我们有两台服务器451。771。240。247和556。103。680。610需要进行保护，可以6这样配置： ip tcp intercept list 604 ip tcp intercept mode watch 。。。。。。。。 ip access-list 203 permit tcp any host 226。233。470。871 ip access-list 100 permit tcp any host 764。124。150。706 经过这样的配置后，我们的主机就在一u定程度上e受到了e保护。g冤jy九▅b┿b┿qǖkptイv胜∏

以下几种方法检测linux服务器是否被攻击：\x0d\1、检查系统密码文件 \x0d\首先从明显的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 \x0d\2、查看一下进程，看看有没有奇怪的进程 \x0d\\x0d\重点查看进程：ps _aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd _s \x0d\/tmp/xxx之类的进程，着重看inetd \x0d\_s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中\x0d\也仅仅是inetd \x0d\_s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。\x0d\3、检查系统守护进程 \x0d\检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep _v “^#”，输出的信息就是这台机器所开启的远程服务。 \x0d\一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\4、检查网络连接和监听端口 \x0d\输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 \x0d\输入netstat _rn，查看本机的路由、网关设置是否正确。 \x0d\输入 ifconfig _a，查看网卡设置。 \x0d\5、检查系统日志 \x0d\命令last | \x0d\more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现\x0d\syslog被非法动过，那说明有重大的入侵事件。 \x0d\在linux下输入ls _al /var/log \x0d\检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 \x0d\6、检查系统中的core文件 \x0d\通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能\x0d\100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core \x0d\_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\7、检查系统文件完整性 \x0d\检查文件的完整性有多种方法，通常通过输入ls _l \x0d\文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\`rpm _qf 文件名` \x0d\来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man \x0d\rpm来获得更多的格式。

安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。

一、处理服务器遭受攻击的一般思路

系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。

1切断网络

所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

2查找攻击源

可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。

3分析入侵原因和途径

既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

4备份用户数据

在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

5重新安装系统

永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

6修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

7恢复数据和连接网络

将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。

二、检查并锁定可疑用户

当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

1登录系统查看可疑用户

通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，如下图所示。

通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

2锁定可疑用户

一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下 *** 作：

[root@server ~]# passwd -l nobody

锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值， *** 作如下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051

这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。

3通过last命令查看用户登录事件

last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。

三、查看系统日志

查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的bash_history文件，特别是/root目录下的bash_history文件，这个文件中记录着用户执行的所有历史命令。

四、检查并关闭系统可疑进程

检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：

首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：

然后进入内存目录，查看对应PID目录下exe文件的信息：

这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：

[root@server ~]# ls -al /proc/13276/fd

通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：

在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。

五、检查文件系统的完好性

检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证， *** 作如下：

对于输出中每个标记的含义介绍如下：

S 表示文件长度发生了变化M 表示文件的访问权限或文件类型发生了变化5 表示MD5校验和发生了变化D 表示设备节点的属性发生了变化L 表示文件的符号链接发生了变化U 表示文件/子目录/设备节点的owner发生了变化G 表示文件/子目录/设备节点的group发生了变化T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。

不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。

对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成，关于chkrootkit、RKHunter工具的使用，下次将展开介绍。

目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关 *** 作。
一、使用FileSystemObject组件
FileSystemObject可以对文件进行常规 *** 作
可以通过修改注册表，将此组件改名，来防止此类木马的危害。
HKEY_CLASSES_ROOT\ScriptingFileSystemObject\
改名为其它的名字，如：改为FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\ScriptingFileSystemObject\CLSID\项目的值
也可以将其删除，来防止此类木马的危害。
注销此组件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrundll
禁止Guest用户使用scrrundll来防止调用此组件。
使用命令：cacls C:\WINNT\system32\scrrundll /e /d guests
二、使用WScriptShell组件
WScriptShell可以调用系统内核运行DOS基本命令
可以通过修改注册表，将此组件改名，来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScriptShell\
及
HKEY_CLASSES_ROOT\WScriptShell1\
改名为其它的名字，如：改为WScriptShell_ChangeName或WScriptShell1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScriptShell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScriptShell1\CLSID\项目的值
也可以将其删除，来防止此类木马的危害。
三、使用ShellApplication组件
ShellApplication可以调用系统内核运行DOS基本命令
可以通过修改注册表，将此组件改名，来防止此类木马的危害。
HKEY_CLASSES_ROOT\ShellApplication\
及
HKEY_CLASSES_ROOT\ShellApplication1\
改名为其它的名字，如：改为ShellApplication_ChangeName或ShellApplication1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\ShellApplication\CLSID\项目的值
HKEY_CLASSES_ROOT\ShellApplication\CLSID\项目的值
也可以将其删除，来防止此类木马的危害。
禁止Guest用户使用shell32dll来防止调用此组件。
使用命令：cacls C:\WINNT\system32\shell32dll /e /d guests
注： *** 作均需要重新启动WEB服务后才会生效。
四、调用Cmdexe
禁用Guests组用户调用cmdexe
cacls C:\WINNT\system32\Cmdexe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

遇到这类问题，首先检查下系统日志，看下情况，系统日志还是可以反映出很多问题的。都是哪些IP在攻击，来自哪里。

全面扫描网站，看下是否被挂马等。删除被篡改的内容，填入新内容。如果有网站内容有备份的话，更好直接进行替换。但是在替换钱，建议先要保证网站相关安全威胁已经清除。比如说：挂马被删除，黑链被清除，后门隐患解决等。

安装安全防火墙，建议可以看下安全狗。在服务器上安装了安全狗后，还可以把服务器添加到安全狗服云平台进行管理，很方便。

重新设置账户密码，密码一定要设置的复杂些，然后对各账号进行权限设置。

尽可能对系统加载最新补丁，并采取有效的合规性配置，降低漏洞利用风险。

保护网站服务器ip地址，在平时发布广告时一定要注意不要泄露你的ip地址。

如果服务器防御低的话，建议选择高防御的服务器，免得老是被D

不管哪种DDoS攻击，，当前的技术都不足以很好的抵御。现在流行的DDoS防御手段——例如黑洞技术和路由器过滤，限速等手段，不仅慢，消耗大，而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击，防火墙提供的保护也受到其技术弱点的限制。其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，代价过于高昂。

黑洞技术

黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃，以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务，攻击者因而获得胜利。

路由器

许多人运用路由器的过滤功能提供对DDoS攻击的防御，但对于现在复杂的DDoS攻击不能提供完善的防御。

路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击，例如ping攻击。这需要一个手动的反应措施，并且往往是在攻击致使服务失败之后。另外，现在的DDoS攻击使用互联网必要的有效协议，很难有效的滤除。路由器也能防止无效的或私有的IP地址空间，但DDoS攻击可以很容易的伪造成有效IP地址。

基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击，因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而，DDoS攻击能很容易伪造来自同一子网的IP地址，致使这种解决法案无效。

防火墙

首先防火墙的位置处于数据路径下游远端，不能为从提供商到企业边缘路由器的访问链路提供足够的保护，从而将那些易受攻击的组件留给了DDoS攻击。此外，因为防火墙总是串联的而成为潜在性能瓶颈，因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击。

其次是反常事件检测缺乏的限制，防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧向外侧服务发起的会话，然后只接收“不干净”一侧期望源头发来的特定响应。然而，这对于一些开放给公众来接收请求的服务是不起作用的，比如Web、DNS和其它服务，因为黑客可以使用“被认可的”协议（如>

第三种限制，虽然防火墙能检测反常行为，但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到，防火墙能停止与攻击相联系的某一特定数据流，但它们无法逐个包检测，将好的或合法业务从恶意业务中分出，使得它们在事实上对IP地址欺骗攻击无效。

IDS入侵监测

IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整，而且经常误报，并且不能识别特定的攻击流。同时IDS本身也很容易成为DDoS攻击的牺牲者。

作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击，但对于缓和攻击的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器，但正如前面叙述的，这对于缓解DDoS攻击效率很低，即便是用类似于静态过滤串联部署的IDS也做不到。

DDoS攻击的手动响应

作为DDoS防御一部份的手动处理太微小并且太缓慢。受害者对DDoS攻击的典型第一反应是询问最近的上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况，尝试识别消息来源是一个长期和冗长的过程，需要许多提供商合作和追踪的过程。即使来源可被识别，但阻断它也意味同时阻断所有业务——好的和坏的。

linux系统的服务器被入侵，总结了以下的基本方法，供不大懂linux服务器网理人员参考考学习。\x0d\首先先用iptraf查下，如果没装的运行yum install iptraf装下，看里面是不是UDP包发的很多，如果是，基本都被人装了后门\x0d\1 检查帐户\x0d\# less /etc/passwd\x0d\# grep :0: /etc/passwd（检查是否产生了新用户，和UID、GID是0的用户）\x0d\# ls -l /etc/passwd（查看文件修改日期）\x0d\# awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特权用户）\x0d\# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帐户）\x0d\ \x0d\2 检查日志\x0d\# last（查看正常情况下登录到本机的所有用户的历史记录）\x0d\注意”entered promiscuous mode”\x0d\注意错误信息\x0d\注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)\x0d\ \x0d\3 检查进程\x0d\# ps -aux（注意UID是0的）\x0d\# lsof -p pid（察看该进程所打开端口和文件）\x0d\# cat /etc/inetdconf | grep -v “^#”（检查守护进程）\x0d\检查隐藏进程\x0d\# ps -ef|awk ‘{print }’|sort -n|uniq >1\x0d\# ls /porc |sort -n|uniq >2\x0d\# diff 1 2\x0d\ \x0d\4 检查文件\x0d\# find / -uid 0 _perm -4000 _print\x0d\# find / -size +10000k _print\x0d\# find / -name “” _print\x0d\# find / -name “ ” _print\x0d\# find / -name “ ” _print\x0d\# find / -name ” ” _print\x0d\注意SUID文件，可疑大于10M和空格文件\x0d\# find / -name core -exec ls -l {} ;（检查系统中的core文件）\x0d\检查系统文件完整性\x0d\# rpm _qf /bin/ls\x0d\# rpm -qf /bin/login\x0d\# md5sum _b 文件名\x0d\# md5sum _t 文件名\x0d\ \x0d\5 检查RPM\x0d\# rpm _Va\x0d\输出格式：\x0d\S _ File size differs\x0d\M _ Mode differs (permissions)\x0d\5 _ MD5 sum differs\x0d\D _ Device number mismatch\x0d\L _ readLink path mismatch\x0d\U _ user ownership differs\x0d\G _ group ownership differs\x0d\T _ modification time differs\x0d\注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin\x0d\ \x0d\6 检查网络\x0d\# ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer）\x0d\# lsof _i\x0d\# netstat _nap（察看不正常打开的TCP/UDP端口)\x0d\# arp _a\x0d\ \x0d\7 检查计划任务\x0d\注意root和UID是0的schedule\x0d\# crontab _u root _l\x0d\# cat /etc/crontab\x0d\# ls /etc/cron\x0d\ \x0d\8 检查后门\x0d\# cat /etc/crontab\x0d\# ls /var/spool/cron/\x0d\# cat /etc/rcd/rclocal\x0d\# ls /etc/rcd\x0d\# ls /etc/rc3d\x0d\# find / -type f -perm 4000\x0d\ \x0d\9 检查内核模块\x0d\# lsmod\x0d\ \x0d\10 检查系统服务\x0d\# chkconfig\x0d\# rpcinfo -p（查看RPC服务）\x0d\ \x0d\11 检查rootkit\x0d\# rkhunter -c\x0d\# chkrootkit -q

---