黑linux

A. linux伺服器被黑如何查

linux系統的伺服器被入侵，總結了以下的基本方法，供不大懂linux伺服器網理人員參考考學習。
首先先用iptraf查下，如果沒裝的運行yum install iptraf裝下，看裡面是不是UDP包發的很多，如果是，基本都被人裝了後門
1. 檢查帳戶
# less /etc/passwd
# grep :0: /etc/passwd（檢查是否產生了新用戶，和UID、GID是0的用戶）
# ls -l /etc/passwd（查看文件修改日期）
# awk -F: 『$3= =0 {print $1}』 /etc/passwd（查看是否存在特權用戶）
# awk -F: 『length($2)= =0 {print $1}』 /etc/shadow（查看是否存在空口令帳戶）

2. 檢查日誌
# last（查看正常情況下登錄到本機的所有用戶的歷史記錄）
注意」entered promiscuous mode」
注意錯誤信息
注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3. 檢查進程
# ps -aux（注意UID是0的）
# lsof -p pid（察看該進程所打開埠和文件）
# cat /etc/inetd.conf | grep -v 「^#」（檢查守護進程）
檢查隱藏進程
# ps -ef|awk 『{print }』|sort -n|uniq >1
# ls /porc |sort -n|uniq >2
# diff 1 2

4. 檢查文件
# find / -uid 0 –perm -4000 –print
# find / -size +10000k –print
# find / -name 「…」 –print
# find / -name 「.. 」 –print
# find / -name 「. 」 –print
# find / -name 」 」 –print
注意SUID文件，可疑大於10M和空格文件
# find / -name core -exec ls -l {} ;（檢查系統中的core文件）
檢查系統文件完整性
# rpm –qf /bin/ls
# rpm -qf /bin/login
# md5sum –b 文件名
# md5sum –t 文件名

5. 檢查RPM
# rpm –Va
輸出格式：
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相關的 /sbin, /bin, /usr/sbin, and /usr/bin

6. 檢查網路
# ip link | grep PROMISC（正常網卡不該在promisc模式，可能存在sniffer）
# lsof –i
# netstat –nap（察看不正常打開的TCP/UDP埠)
# arp –a

7. 檢查計劃任務
注意root和UID是0的schele
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*

8. 檢查後門
# cat /etc/crontab
# ls /var/spool/cron/
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000

9. 檢查內核模塊
# lsmod

10. 檢查系統服務
# chkconfig
# rpcinfo -p（查看RPC服務）

11. 檢查rootkit
# rkhunter -c
# chkrootkit -q

B. 電腦linux啟動黑屏如何解決

黑屏故障一般有四種情況：
一，全黑。主機、顯示器（包括指示燈）均不亮
二，顯示器的指示燈亮，主機的指示燈不亮
三，顯示器與主機的指示燈均亮且開關電源冷卻風扇也正常旋轉，但顯示器不顯示。
四，動態黑屏，開機時顯示，但過一會兒就不顯示了。
你的是哪種啊？對比一下然後說清楚點
那可能是因為顯示信號線或電源線沒有連接好,亮度對比度旋鈕被意外"關死"，硬碟信號排電纜插反或只插了一排針孔，也有可能是有金屬物質掉在主板導致局部短路，或者是內存條沒有插好，總而言之，把機箱拆出來，清理一下，把那些線拔出來再插一次，注意要插好一點，特別是內存，一般比較多的是發生在內存這里
目前造成計算機黑屏的原因主要有兩個，一是硬體的故障，二是軟體的沖突，而二者的區別主要在於發生黑屏的位置，即是在開機時發生黑屏，還是在正常啟動機器後，在使用的過程中出現黑屏。
當然，無論是硬體故障，還是軟體的問題，從某種意義上講都不是孤立的，嘗試順著以下的思路去解決，相信黑屏會很快得到妥善的解決。

C. Linux伺服器被黑如何查

linux系統的伺服器被入侵，總結了以下的基本方法，供不大懂linux伺服器網理人員參考考學習。x0dx0a首先先用iptraf查下，如果沒裝的運行yum install iptraf裝下，看裡面是不是UDP包發的很多，如果是，基本都被人裝了後門x0dx0a1. 檢查帳戶x0dx0a# less /etc/passwdx0dx0a# grep :0: /etc/passwd（檢查是否產生了新用戶，和UID、GID是0的用戶）x0dx0a# ls -l /etc/passwd（查看文件修改日期）x0dx0a# awk -F: 『$3= =0 {print $1}』 /etc/passwd（查看是否存在特權用戶）x0dx0a# awk -F: 『length($2)= =0 {print $1}』 /etc/shadow（查看是否存在空口令帳戶）x0dx0a x0dx0a2. 檢查日誌x0dx0a# last（查看正常情況下登錄到本機的所有用戶的歷史記錄）x0dx0a注意」entered promiscuous mode」x0dx0a注意錯誤信息x0dx0a注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)x0dx0a x0dx0a3. 檢查進程x0dx0a# ps -aux（注意UID是0的）x0dx0a# lsof -p pid（察看該進程所打開埠和文件）x0dx0a# cat /etc/inetd.conf | grep -v 「^#」（檢查守護進程）x0dx0a檢查隱藏進程x0dx0a# ps -ef|awk 『{print }』|sort -n|uniq >1x0dx0a# ls /porc |sort -n|uniq >2x0dx0a# diff 1 2x0dx0a x0dx0a4. 檢查文件x0dx0a# find / -uid 0 _perm -4000 _printx0dx0a# find / -size +10000k _printx0dx0a# find / -name 「?」 _printx0dx0a# find / -name 「.. 」 _printx0dx0a# find / -name 「. 」 _printx0dx0a# find / -name 」 」 _printx0dx0a注意SUID文件，可疑大於10M和空格文件x0dx0a# find / -name core -exec ls -l {} ;（檢查系統中的core文件）x0dx0a檢查系統文件完整性x0dx0a# rpm _qf /bin/lsx0dx0a# rpm -qf /bin/loginx0dx0a# md5sum _b 文件名x0dx0a# md5sum _t 文件名x0dx0a x0dx0a5. 檢查RPMx0dx0a# rpm _Vax0dx0a輸出格式：x0dx0aS _ File size differsx0dx0aM _ Mode differs (permissions)x0dx0a5 _ MD5 sum differsx0dx0aD _ Device number mismatchx0dx0aL _ readLink path mismatchx0dx0aU _ user ownership differsx0dx0aG _ group ownership differsx0dx0aT _ modification time differsx0dx0a注意相關的 /sbin, /bin, /usr/sbin, and /usr/binx0dx0a x0dx0a6. 檢查網路x0dx0a# ip link | grep PROMISC（正常網卡不該在promisc模式，可能存在sniffer）x0dx0a# lsof _ix0dx0a# netstat _nap（察看不正常打開的TCP/UDP埠)x0dx0a# arp _ax0dx0a x0dx0a7. 檢查計劃任務x0dx0a注意root和UID是0的schelex0dx0a# crontab _u root _lx0dx0a# cat /etc/crontabx0dx0a# ls /etc/cron.*x0dx0a x0dx0a8. 檢查後門x0dx0a# cat /etc/crontabx0dx0a# ls /var/spool/cron/x0dx0a# cat /etc/rc.d/rc.localx0dx0a# ls /etc/rc.dx0dx0a# ls /etc/rc3.dx0dx0a# find / -type f -perm 4000x0dx0a x0dx0a9. 檢查內核模塊x0dx0a# lsmodx0dx0a x0dx0a10. 檢查系統服務x0dx0a# chkconfigx0dx0a# rpcinfo -p（查看RPC服務）x0dx0a x0dx0a11. 檢查rootkitx0dx0a# rkhunter -cx0dx0a# chkrootkit -q

D. Linux伺服器被黑，會主動發垃圾郵件，這種問題應該怎麼解決

找到發垃圾郵箱的進程，看看能不能幹掉，刪掉源文件。如果還不行，建議重裝系統，安裝好防火牆，設置好許可權