安静
PHP技术博客

160713 rpm检查入侵痕迹

By 枫叶

常见入侵中有一些事替换了系统的二进制工具,导致入侵后并不能很简单的检查出问题,今天枫叶同事发了我点关于rpm检测入侵的命令,可以用来排查入侵痕迹,文章最下面是关于rpm和yum的关系描述

rpm -qf /usr/bin/ldd
//这个是查找这个命令属于哪个rpm包
rpm -Vf /usr/bin/ldd
//这个是验证这个对应的软件包是否有修改

Va表示验证所有的

rpm -Va
....L....    /usr/include/mysql
....L....  c /etc/localtime
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/security/limits.conf
S.5....T.  c /usr/lib64/security/classpath.security
S.5....T.  c /etc/nscd.conf
S.5....T.  c /etc/ssh/sshd_config
..5....T.  c /etc/yum/pluginconf.d/fastestmirror.conf
SM5....T.  c /etc/yum.repos.d/CentOS-Base.repo
S.5....T.  c /etc/my.cnf
SM5....T.  c /etc/yum.repos.d/epel.repo
....L....    /usr/bin/python
S.5....T.  c /root/.bashrc

rpm –help

S= 大小改变
M= 权限改变
5=MD5改变,说明文件内容被改了 : md5sum
L= 连接改变
D= 设备改变
U=用户改变
G= 组改变
T=修改时间改变

什么是rpm?

由红帽公司开发的软件包管理方式,使用rpm我们可以方便的进行软件的安装、查询、卸载、升级等工作。但是rpm软件包之间的依赖性问题往往会很繁琐,尤其是软件由多个rpm包组成时。

什么是Yum?

(全称为 Yellow dog Updater, Modified)是一个在Fedora和RedHat以及SUSE中的Shell前端软件包管理器。基於RPM包管理,能够从指定的服务器自动下载RPM包并且安装,可以自动处理依赖性关系,并且一次安装所有依赖的软体包,无须繁琐地一次次下载、安装。
赞(0) 打赏
未经允许不得转载:AJ's Blog » 160713 rpm检查入侵痕迹
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏