检查系统的异常文件 查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性 > ls -al 查找1天以内被访问过的文件 > find /opt -iname "*"...-atime 1 -type f -iname不区分大小写,-atime最近一次被访问的时间,-type文件类型 检查历史命令 查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home...目录下的用户主目录的.bash_history文件 默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。...检查系统日志 在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。...同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。 /var/log/utmp 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。
检查系统的异常文件 查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性 > ls -al 查找1天以内被访问过的文件 > find /opt -iname "*" -...atime 1 -type f -iname不区分大小写,-atime最近一次被访问的时间,-type文件类型 检查历史命令 查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home...目录下的用户主目录的.bash_history文件 默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。...检查系统日志 在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。...> gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 原文链接:https://rumenz.com/rumenbiji/linux-hacking
/bin/bash #此脚本用于检测linux系统重要文件是否被改动,如果改动则用邮件报警 #建议用定时任务执行此脚本,如每5分钟执行一次,也可修改此脚本用于死循环检测 #Ver:1.0 #http:/...================================================================================ 现在开始对/data/test目录下的文件做下变动...查看邮件,就能看到/data/test目录下变动的文件或子目录信息了 ?...centos6-vm01 test]# crontab -e */5 * * * * /bin/bash -x /opt/file_monit.sh > /dev/null 2>&1 以上脚本也可以用于检测linux...系统重要文件是否被更改,只需将检查的目录由脚本中的/data/test改为/etc即可!
之前查询端口是否被占用一直搞不明白,问了好多人,终于搞懂了,现在总结下: 1.netstat -anp |grep 端口号 如下,我以3306为例,netstat -anp |grep 3306(此处备注下...,我是以普通用户操作,故加上了sudo,如果是以root用户操作,不用加sudo即可查看),如下图1: 图1 图1中主要看监控状态为LISTEN表示已经被占用,最后一列显示被服务mysqld占用,查看具体端口号...,只要有如图这一行就表示被占用了。...端口的使用情况,如图3: 图3 可以看出并没有LISTEN那一行,所以就表示没有被占用。...此处注意,图中显示的LISTENING并不表示端口被占用,不要和LISTEN混淆哦,查看具体端口时候,必须要看到tcp,端口号,LISTEN那一行,才表示端口被占用了 以上就是本文的全部内容,希望对大家的学习有所帮助
1、查看服务器端口是否被占用 >lsof -i:8081 2、查看服务器所有端口 >netstat -ntlp 3、查看服务器是否开放某端口 tcp端口:>netstat -ntpl udp端口:>netstat...提示:LISTEN和LISTENING的状态只有用-a或者-l才能看到 总结 以上所述是小编给大家介绍的linux下查看端口是否被占用以及查看所有端口,希望对大家有所帮助,如果大家有任何疑问请给我留言,
报错信息 listen(): bind() failed errno:98 Address already in use for socket: 0.0.0.0:27017 这说明27017的端口已经被程序占用...,想知道被那个哪个程序占用呢?...发现27017端口被PID为12413进程占用,程序为mongod。
之前查询端口是否被占用一直搞不明白,问了好多人,终于搞懂了,现在总结下: 1.netstat -anp |grep 端口号 如下,我以3306为例,netstat -anp |grep 3306(此处备注下...图1 图1中主要看监控状态为LISTEN表示已经被占用,最后一列显示被服务mysqld占用,查看具体端口号,只要有如图这一行就表示被占用了。...图2 图中可以看出我的82端口没有被占用 3.netstat -anp |grep 82查看82端口的使用情况,如图3: image.png 图3 可以看出并没有LISTEN那一行,所以就表示没有被占用...此处注意,图中显示的LISTENING并不表示端口被占用,不要和LISTEN混淆哦,查看具体端口时候,必须要看到tcp,端口号,LISTEN那一行,才表示端口被占用了 以上就是本文的全部内容,希望对大家的学习有所帮助
1.使用lsof lsof -i:端口号查看某个端口是否被占用 2.使用netstat 使用netstat -anp|grep 80 更多内容,可以点击这里:http://
但是如何知道一个文件是否已经混淆了。 在发布之前,需要知道是不是有文件忘了混淆。 要判断文件是否混淆,必须知道常用的混淆手法。...混淆就是因为编写的 C# 代码转换 IL ,可以很容易被反编译,从而知道了源代码,不利于保护软件,不利于防止破解。 所以可以通过混淆来让反编译困难。...简单方法去获得文件是否混淆变量名是反射。 可以通过加载文件,使用动态加载 DLL,然后使用反射判断文件变量名是否存在不可读字符,如果存在,那么文件被混淆。...", "\u0018", "\u0019" }; /// /// 判断一个文件是否混淆...ConfuseType.NotSupported; throw; } } /// /// 判断type的方法是否有混淆
/bin/bash #2020-3-14 #监测文件是否被修改脚本 #监测目录 dir_file=(/etc) file_list=/usr/local/file_list.txt error_file...file_list} file_check number=`wc -l ${file_list} |awk '{print $1}'` echo "统计完成,总共${number}个文件...error_file ]];then echo "修改过的文档如下:" cat $error_file else echo "没有修改过的文件
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...> netstat -tunlp | less 抓包分析 > tcpdump -c 10 -q //精简模式显示 10个包 使用ps命令检查可疑的进程 > ps -ef 查超系统中占用资源最高的资源 >...Linux系统服务管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。...> cat /etc/rc.local 检查计划任务 利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。
一、检查系统日志 lastb //检查系统错误登陆日志,统计IP重试次数 二、检查系统用户 1、cat /etc/passwd //查看是否有异常的系统用户 2、grep "0" /etc/passwd...//查看是否产生了新用户,UID和GID为0的用户 3、ls -l /etc/passwd //查看passwd的修改时间,判断是否在不知的情况下添加用户 4、awk -F : '$3==0 {print...$1}' /etc/passwd //查看是否存在特权用户 5、awk -F : 'length($2)==0 {print $1}' /etc/shadow //查看是否存在空口令帐户 三、检查异常进程...//1、注意UID为0的进程 ps -ef //2、察看该进程所打开的端口和文件 lsof -p pid //3、检查隐藏进程 ps -ef | awk '{print }' | sort -n |.../bin/ls rpm -qf /bin/login md5sum –b 文件名 md5sum –t 文件名 六、检查网络 ip link | grep PROMISC //(正常网卡不该在promisc
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...> netstat -tunlp | less 抓包分析 > tcpdump -c 10 -q //精简模式显示 10个包 使用ps命令检查可疑的进程 > ps -ef 查超系统中占用资源最高的资源 >...Linux系统服务管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。...cat /etc/rc.local 检查计划任务 利用计划任务进行权限维持,可作为一种持久性机制被入侵者利用。检查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。
1.通过pid查看端口占用。 netstat -anp|grep 1962 2.通过pid查看进程详情。...netstat -tunlp netstat -tunlp|grep 80 5.lsof -i lsof -i:8000 没有此命令,安装: yum install -y lsof 以下命令可用于杀死占用某端口的所有进程...kill -9 $(lsof -i tcp:进程号 -t) 1 另外,非root用户可能需要执行 sudo kill -9 $(lsof -i tcp:进程号 -t) 1 补充: 查看某端口占用情况
来源:计算机与网络安全 ID:Computer-network 随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考...背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: ?...b.在虚拟文件系统目录查找该进程的可执行文件 ? 11.如果确认机器已经被入侵,重要文件已经被删除,可以尝试找回被删除的文件。...3>当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。...因此我们可以在/proc/1264/fd/4(fd下的每个以数字命名的文件表示进程对应的文件描述符)中查看相应的信息,如下: ?
linux下有时需要查询某个文件被哪些进程调用,或者某个进程打开了哪些文件,今天介绍两个命令。...r——根目录 m——映射文件或者共享库 s——将此文件作为共享库 fuser命令常用选项: -a 显示所有命令行中指定的文件,默认情况下被访问的文件才会被显示。...下面举几个例子看一下: 查看某个端口被哪些进程占用 ? 查看某个lib文件被哪些进程调用 ? 查看某个可执行文件被调用 ? 查看tcp80端口被调用 ?...0 2 lsof 列出当前系统打开文件 在linux环境下,任何事物都以文件的形式存在,通过文件不仅可以访问常规数据,还可以访问网络连接和硬件。...查看文件、设备占用 ? 查看设备占用,在卸载文件系统的时候常用 ? 同样可直接查看目录占用 ? 查看某进程打开的文件 ?
/vm/drop_caches echo 3 > /proc/sys/vm/drop_caches 操作动作如下图: # 原理 请参考查阅: http://liwei.life/2016/04/26/linux
1.lsof简介 lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。...+d /DIR/ 显示目录下被进程打开的文件 lsof +D /DIR/ 同上,但是会搜索目录下的所有目录,时间相对较长 lsof -d FD 显示指定文件描述符的进程 lsof -n 不将IP转换为...这个示例说明了应用程序的当前工作目录非常重要,因为它仍保持着文件资源,并且可以防止文件系统被卸载。...当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。...假如由于误操作将/var/log/messages文件删除掉了,那么这时要将/var/log/messages文件恢复的方法如下: 首先使用lsof来查看当前是否有进程打开/var/logmessages
之前查询端口是否被占用一直搞不明白,问了好多人,终于搞懂了,现在总结下: 1.netstat -anp |grep 端口号 如下,我以3306为例,netstat -anp |grep 3306(此处备注下...此处注意,图中显示的LISTENING并不表示端口被占用,不要和LISTEN混淆哦,查看具体端口时候,必须要看到tcp,端口号,LISTEN那一行,才表示端口被占用了 在linux中查看进程占用的端口号...在Linux 上的 /etc/services 文件可以查看到更多关于保留端口的信息。...[root@elk3 ~]# netstat -lntp | grep 860 方法4:使用 nmap 命令 [root@elk3 ~]# nmap -sV -p 22 localhost 大部分情况下,...这时更建议使用以下这个journalctl 命令检查日志文件中的详细信息。
领取专属 10元无门槛券
手把手带您无忧上云
