centos 黑客入侵 怎么办
黑客可以使用任何系统入侵电脑,常用系统有windows、linux内核的各种发行版本,例如ubuntu、centos等。 黑客入侵常见方法: 方法一: 1、发送远程登陆木马病毒,用户触发。 2、黑客登陆电脑。 方法二: 1、利用外网进行PING。 2、使用系统已知漏...
如何查看配置Ubuntu和Centos的系统日志
last命令用于查看所有系统的登入记录,格式为:"last [参数]"。
下面使用last命令看到的本机登陆信息,其实仅仅是调取了过往保存到系统中的日志文件罢了,篡改里面的文字其实也很简单,因此对于做“黑客”入侵行为审计时其实并不牢靠,只能仅供咱们参考而已:
[root@linuxprobe ~]# last
root pts/0 :0 Mon Aug 24 17:52 still logged in
root :0 :0 Mon Aug 24 17:52 still logged in
(unknown :0 :0 Mon Aug 24 17:50 - 17:52 (00:02)
reboot system boot 3.10.0-123.el7.x Tue Aug 25 01:49 - 18:17 (-7:-32)
root pts/0 :0 Mon Aug 24 15:40 - 08:54 (7+17:14)
root pts/0 :0 Fri Jul 10 10:49 - 15:37 (45+04:47)
………………省略部分登陆信息………………
CentOS怎样查看系统信息
ifconfig 用于获取网卡配置与网络状态等信息:格式为"ifconfig [网络设备] [参数]"。
查看本机当前的网卡配置与网络状态等信息,我们主要就是看每段开头的网卡名称、inet参数后面的IP地址、ether参数后面的物理mac地址以及RX、TX的接收与发送数据包的大小
uname 命令用于查看系统内核与系统版本等信息,格式为:“uname [-a]”。
一般我们会固定搭配上-a参数来完整查看当前系统的内核名称、主机名、内核发行版本、节点名、系统时间、硬件名称、硬件平台、处理器类型以及操作系统名称等信息
uptime 命令用于查看系统的负载信息,格式为:“uptime”。
这个命令真的很棒,它可以为您显示当前系统时间、系统已运行时间、当前在线用户以及平均负载值等信息数据。平均负载值指的是最近1分钟、5分钟、15分钟的系统压力情况,负载值越低越好,尽量不要长期超过1。
另外您还可以结合搭配用"watch -n 1 uptime"命令(看下图文http://www.linuxprobe.com/chapter-02.html#24)来每秒刷新一次来获得当前的系统负载情况。
free 命令用于显示当前系统中内存的使用量信息,格式为:“free [-h]”。
为了保证Linux系统不会突然卡住宕机,因此内存使用量应该是运维人员时刻要关注的数据啦,我们可以使用-h参数来以更人性化的样式为我们展示出内存的实时使用量信息(真实的输出值中不包括中文注释部分)
who 命令用于查看当前登入主机的用户终端信息,格式为:"who [参数]"。
简单三个字母就可以快捷的显示出所有正在登陆着本机的用户名称以及他们正在开启的终端信息
last命令用于查看所有系统的登入记录,格式为:"last [参数]"。
下面使用last命令看到的本机登陆信息,其实仅仅是调取了过往保存到系统中的日志文件罢了,篡改里面的文字其实也很简单,因此对于做“黑客”入侵行为审计时其实并不牢靠,只能仅供我们参考而已
history命令用于显示历史执行过的命令,格式为:“history [-c]”。
这条命令应该是我最喜欢的了,history命令默认会保存1000条执行过的命令,若要修改可直接编辑/etc/profile文件的HISTSIZE值。它能显示出当前用户在本地计算机中执行过的所有命令记录,您可以使用-c参数来清空里面的历史数据,还可以使用“!编码数字”的方式来重复执行某一次的命令
sosreport 命令用于收集系统配置并诊断信息后输出结论文档
格式为:“sosreport”。当我们的Linux系统出现故障需要联系红帽厂商或其他技术支持时,大多数时候都要先使用这个SOS功能来简单收集计算机的状态和配置信息,以便让技术支持公司能够通过远程就解决了一些小问题,又或者让他们能对复杂问题能提前有些了解
centos6.4怎么查看之前的内容
1.who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示
代码如下 复制代码
root pts/0 2014-03-04 10:03 (218.2.11.178)
2.如果指明了wtmp文件名,则who命令查询以www.111cn.Net前所有的登陆纪录。使用命令who /var/log/wtmp查看所有登陆记录,结果如下:
代码如下 复制代码
lxy ftpd5946 2013-01-09 16:48 (218.2.11.178)
ipfangwen ftpd6036 2013-01-09 16:49 (218.2.11.178)
zhaiken ftpd6064 2013-01-09 16:50 (218.2.11.178)
beifen ftpd6065 2013-01-09 16:50 (218.2.11.178)
root pts/0 2013-01-09 17:27 (218.2.11.178)
lxy ftpd9472 2013-01-09 17:30 (218.2.11.178)
lxy ftpd9482 2013-01-09 17:31 (218.2.11.178)
root pts/0 2013-01-11 12:58 (218.2.11.178)
dy.lxy.me ftpd9801 2013-01-25 16:15 (218.2.11.178)
3.last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:
代码如下 复制代码
root pts/0 218.2.11.178 Tue Mar 4 10:03 still logged in
root pts/0 218.2.11.178 Wed Feb 26 15:34 - 15:43 (00:09)
lxy ftpd18086 218.2.11.178 Wed Oct 9 17:14 - 17:16 (00:02)
root pts/0 218.2.11.178 Tue Oct 8 16:54 - 17:50 (00:55)
如何在CentOS上配置基于主机的入侵检测系统
为ISSRealSecure的部署图,RealSecure是一种混合型的入侵检测系统,提供基于网络和基于主机的实时入侵检测。
其控制台运行在Windows2000上。
RealSecure的传感器是自治的,能被许多控制台控制。
各部分的功能如下:(1)ReaISecure控制台:对多台网络传感器和服务器代理进行管理;
对被管理传感器进行远程的配置和控制;
各个监控器发现的安全事件实时地报告控制台。
(2)NetworkSensor(网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全;
运行在特定的主机上,监听并解析所有的网络信息,及时发现具有攻击特征的信息包;
检测本地网段,查找每一数据包内隐藏的恶意入侵,对发现的入侵做出及时的响应。
当检测到攻击时,网络引擎能即刻做出响应,进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台),记录现场(记录事件日志及整个会话),采取安全响应行动(终止入侵连接、调整网络设备配置,如防火墙、执行特定的用户响应程序)。
(3)ServerSensor(服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测;
具有包拦截、智能报警以及阻塞通信的能力,能够在入侵到达操作系统或应用之前主动阻止入侵;
自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。
怎么查看Centos用户登陆记录
首先简单介绍一下Centos中记录登陆信息的日志文件。
有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。
数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。
每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。
在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。
下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。
wtmp和utmp文件都是二进制文件,用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。
下面来说如何查看Centos用户登陆日志。
1.who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示
root pts/0 2014-03-04 10:03 (218.2.11.178)
2.如果指明了wtmp文件名,则who命令查询以前所有的登陆纪录。使用命令who /var/log/wtmp查看所有登陆记录,结果如下:
lxy ftpd5946 2013-01-09 16:48 (218.2.11.178)
ipfangwen ftpd6036 2013-01-09 16:49 (218.2.11.178)
zhaiken ftpd6064 2013-01-09 16:50 (218.2.11.178)
beifen ftpd6065 2013-01-09 16:50 (218.2.11.178)
root pts/0 2013-01-09 17:27 (218.2.11.178)
lxy ftpd9472 2013-01-09 17:30 (218.2.11.178)
lxy ftpd9482 2013-01-09 17:31 (218.2.11.178)
root pts/0 2013-01-11 12:58 (218.2.11.178)
dy.lxy.me ftpd9801 2013-01-25 16:15 (218.2.11.178)
3.last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:
root pts/0 218.2.11.178 Tue Mar 4 10:03 still logged in
root pts/0 218.2.11.178 Wed Feb 26 15:34 - 15:43 (00:09)
lxy ftpd18086 218.2.11.178 Wed Oct 9 17:14 - 17:16 (00:02)
root pts/0 218.2.11.178 Tue Oct 8 16:54 - 17:50 (00:55)