Linux入侵行为如何发现_日志与工具分析思路【教学】

---

发现Linux是否被入侵需基于证据链闭环：查/var/log/secure识别暴力破解与非法登录；查/etc/passwd确认UID 0非root账户；扫Web日志捕获SQL注入、XSS等攻击痕迹。

发现Linux系统是否被入侵，核心在于“异常可观测”——日志里有痕迹、进程里有异动、文件里有篡改、网络里有可疑连接。不靠猜测，靠证据链闭环。

看登录日志，揪出非法访问源头

/var/log/secure 是SSH登录行为的主战场，重点关注失败与成功两类记录：

• 查暴力破解： grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -10 ——列出高频尝试登录的IP
• 查已成功入侵： grep "Accepted" /var/log/secure | awk '{print $1,$9,$11}' ——显示时间、用户、来源IP，特别注意境外或非办公网段IP
• 查root以外的UID 0账户： awk -F: '$3==0{print $1}' /etc/passwd ——若出现非root用户，极可能已被提权

扫Web日志，识别典型攻击载荷

网站访问日志（如 /www/logs/access.log）是SQL注入、XSS、命令执行、WebShell上传的直接证据：

MacsMind

电商AI超级智能客服

192 查看详情

• SQL注入痕迹： grep -E -i "select.*from|union.*select|sleep\(|benchmark\(" access.log
• XSS特征： grep -E -i "
• 命令注入： grep -E -i "cat%20/etc/passwd|ls%20-alh|%20pwd|;curl|;wget" access.log
• WebShell上传： grep -E -i "\.php\?|eval\(|assert\(|base64_decode\(|system\(|passthru\(" access.log

查进程与端口，定位隐蔽后门

攻击者常驻后台进程、监听非常规端口、替换系统命令：

• 看异常进程： ps aux --sort=-%cpu | head -15 ——结合CPU/内存占用和命令路径判断（如 /tmp/.a、/dev/shm/.b 这类路径高度可疑）
• 查监听端口： netstat -tulnp | grep -v "127.0.0.1:" ——过滤本地回环，聚焦对外暴露的非标端口（如 31337、6666、8888）
• 验命令完整性： ls -la /bin/ps /usr/bin/netstat /bin/ls ——比对文件大小、修改时间；再用 md5sum /bin/ps 与干净系统比对哈希值

找文件改动，锁定后门植入点

攻击者上传木马、修改配置、创建隐藏账户，都会留下文件操作痕迹：

• 查24小时内新建/修改的PHP文件： find /var/www -name "*.php" -mtime -1 -ls
• 搜含危险函数的一句话木马： find /var/www -name "*.php" -type f -exec grep -l "eval\|assert\|system\|shell_exec\|base64_decode" {} \; 2>/dev/null
• 找权限过宽的脚本： find /var/www -name "*.php" -perm 777 -ls ——777权限极易被覆盖写入
• 查最近创建的隐藏文件： find /tmp /dev/shm /var/tmp -type f -mtime -3 -name ".*" -ls 2>/dev/null

以上就是Linux入侵行为如何发现_日志与工具分析思路【教学】的详细内容，更多请关注其它相关文章！

# 客服  # 钢材外贸关键词排名  # 白酒seo推广哪里好  # 关键词快速点击排名  # 江夏关键词排名公司  # 上饶百度网站优化  # 唐山网站优化公司费用  # 网站建设常态化工作机制  # 宜昌外包网站优化推广  # 安阳百度seo关键词排名软件  # 蓬莱信息推广营销  # 这类  # 相关文章  # 已被  # linux  # 操作步骤  # 提高效率  # 比对  # 上传  # 软件包  # 闭环  # linux系统  # sql注入  # ai  # 工具  # access  # word 

相关栏目： 【 Google疑问12 】 【 Facebook疑问10 】 【 优化推广96088 】 【 技术知识133117 】 【 IDC资讯59369 】 【 网络运营7196 】 【 IT资讯61894 】

相关推荐： 苹果官网国补入口在哪  《i莞家》修改昵称方法  PHP页面重载时变量值不重置的实现方法  Linux如何自动分析系统异常日志_Linux日志智能检测  cad视图选项卡不见了怎么办_cad视图标签恢复显示方法  鼠标没反应了怎么办 无线/有线鼠标失灵的解决方法【详解】  rabbitmq 持久化有什么缺点？  小米倒班助手添加日历提醒  Yandex浏览器官方入口_Yandex搜索引擎中文版  b站怎么设置动态仅粉丝可见_b站动态粉丝可见设置方法  实时数据流中高效查找最小值与最大值  手机自动关机是怎么回事？如何修复？手机异常关机的原因排查与修复技巧  mysql导入sql文件能分批导入吗_mysql分批次导入大sql文件的实用技巧  poki官网最新入口 poki小游戏大全入口  PPT智能排版生成入口 免费PPT内容自动生成平台  京东物流快递破损了怎么办_京东快递破损理赔流程  C++ bind函数使用教程_C++参数绑定与函数适配器的应用  智慧职教mooc平台登录网址 智慧职教mooc官网直达  GBA模拟器手柄按键设置  冬季去寒冷地区旅游，以下哪种做法有助于缓解冻伤  稻壳阅读器官方直达网址链接 稻壳阅读器文档阅读平台主页资源入口  Python对象引用与属性赋值：理解链表中的行为  优化长HTML属性值：SonarQube警告与实用策略  苹果手机如何清理系统缓存数据 iPhone非越狱清理垃圾文件的技巧【系统优化】  顺丰速运官网查询入口 顺丰物流查询官网入口链接  mysql中如何分析索引使用情况_mysql索引使用分析方法  j*a中ArrayBlockingQueue的使用  Win10如何关闭开机锁屏界面_Windows10跳过锁屏直接登录设置  Magento 2 产品保存事件中安全更新属性的最佳实践  如何自定义苹果手机铃声  XPath动态元素定位：如何精准选择文本内容变化的元素  优酷下载视频的清晰度怎么选_优酷缓存清晰度设置与选择指南  163邮箱登录入口官网 163.com邮箱登录入口  汽水音乐网页版登录 汽水音乐网页端官方入口  mysql镜像配置如何恢复数据_mysql镜像配置数据恢复详细流程  苹果11如何更换iCloud账号_苹果11账号切换的具体步骤  OPPO手机参数配置如何开启护眼模式_OPPO手机参数配置护眼模式开启指南  b站怎么用微信登录_b站微信登录方法  win11关机几秒又自己开机 Win11关机自动重启问题修复  5G和6G的连接密度有什么区别 6G每平方公里能连接多少设备  抖音评论无法发送如何修复 抖音评论功能操作指南  《爱笔思画x》涂色教程  Dagster资产间数据传递与用户配置管理教程  之了课堂app做题入口  C++ optional用法详解_C++17处理可能为空的返回值  金牛福袋获取攻略  《美篇》取消会员自动续费方法  如何使用CSS Grid实现“大方块左侧，小方块右侧垂直堆叠”的水平布局  PyEZ 配置提交中 RpcTimeoutError 的健壮性处理策略  研招网官方网站正版登录网址_中国研究生招生信息网官网首页 

 2025-12-18