入侵防范linux命令 centos 入侵( 二 )


LINUX系统有哪些危险命令这9个“非常危险”的Linux命令一定要记住!
1、rm-rf命令
rm-rf命令是删除文件夹及其内容最快的一种方式,仅仅一丁点的敲错或者无知都可能导致不可恢复的系统崩坏 。
rm命令在Linux下通常用来删除文件
rm-f命令递归的删除文件夹,甚至是空的文件夹
rm-f命令能不经过询问直接删除只读文件
rm-rf/:强制删除根目录下所有东西
rm-rf/*:强制删除当前目录的所有文件
rm-rf.:强制删除当前文件夹及其子文件
温馨提示:当你要执行rm -rf命令时 , 一定要留心,可以在“.bashrc”文件对“rm”命令创建rm
-i的别名,来预防用‘rm’命令删除文件时的事故 。
2、:(){:|:};:命令
这就是一个fork炸弹的实例 。具体操作是通过定义一个名为':'的函数,它会调用自己两次,一次在前台另一次运行在后台 。它会反复的执行下去直到系统崩溃 。
3、命令 /dev/sda
上列命令会将某个'命令'的输出写到块设备/dev/sda中 。该操作会将在块设备中的所有数据块替换为命令写入的原始数据 , 从而导致整个块设备的数据丢失 。
4、mv文件夹/dev/null
这个命令会移动某个'文件夹'到/dev/null 。在Linux中/dev/null或null设备是一个特殊的文件,所有写入它的数据都会被清除,然后返回写操作成功 。
5、wget-O- | sh
上面这个命令会从一个恶意源下载一个脚本并执行 。Wget命令会下载这个脚本,而sh会执行下载下来的脚本 。
温馨提示:你应该时刻注意你下载包或者脚本的源 。只能使用那些从可信任的源中下载脚本/程序 。
6、mkfs.ext3 /dev/sda
上列命令会格式化设备'sda',你无疑知道在执行上列命令后你的块设备会被格式化,崭新的 。没有任何数据,直接让你的系统达到不可恢复的阶段 。
7、 file
上面命令常用来清空文件内容,如果用上列执行时输入错误或无知的输入类似“ xt.conf” 的命令会覆盖配置文件或其他任何的系统配置文件 。
8、^foo^bar
这个命令用来编辑先前运行的命令而无需要打整个命令 。但当用foobar命令时如果你没有彻底检查改变原始命令的风险,这可能导致真正的麻烦 。
9、dd if=/dev/random of=/dev/sda
上面这个命令会向块设备sda写入随机的垃圾文件从而擦出数据 。当然 , 你的系统可能陷入混乱和不可恢复的状态 。
Linux如何判断自己的服务器是否被入侵1、检查系统密码文件
首先从明显的入手 , 查看一下passwd文件 , ls –l /etc/passwd查看文件修改的日期 。
检查一下passwd文件中有哪些特权用户 , 系统中uid为0的用户都会被显示出来 。
1
awk –F:’$3==0 {print $1}’ /etc/passwd
顺便再检查一下系统里有没有空口令帐户:
1
awk –F: ‘length($2)==0 {print $1}’ /etc/shadow
2、查看一下进程,看看有没有奇怪的进程
重点查看进程:ps –aef | grep inetd
inetd是UNIX系统的守护进程 , 正常的inetd的pid都比较靠前,如果你看到输出了一个类似inetd –s /tmp/.xxx之类的进程,着重看inetd –s后面的内容 。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的 , 当然也没有用inetd去启动某个文件;而solaris系统中也仅仅是inetd –s,同样没有用inetd去启动某个特定的文件;如果你使用ps命令看到inetd启动了某个文件,而你自己又没有用inetd启动这个文件,那就说明已经有人入侵了你的系统 , 并且以root权限起了一个简单的后门 。
输入ps –aef 查看输出信息,尤其注意有没有以./xxx开头的进程 。一旦发现异样的进程,经检查为入侵者留下的后门程序,立即运行kill –9 pid 开杀死该进程,然后再运行ps –aef查看该进程是否被杀死;一旦此类进程出现杀死以后又重新启动的现象,则证明系统被人放置了自动启动程序的脚本 。这个时候要进行仔细查找:find / -name 程序名 –print,假设系统真的被入侵者放置了后门 , 根据找到的程序所在的目录,会找到很多有趣的东东J

推荐阅读