Linux系统入侵的痕迹揭示（linux入侵痕迹）

随着Linux系统越来越成为新一代IT基础设施中的主流，许多入侵企图一直在袭击Linux系统。本文将介绍Linux系统入侵的痕迹，以及如何追查发现入侵者和追踪入侵者的行动。

Linux系统入侵的痕迹有许多，包括但不限于系统日志，文件变化，网络流量，任务完成及其他。比如在日志中，系统管理员可以寻找不小于日志记录的系统异常行为，系统被停止或启动时间，异常登陆，Root帐号的使用，网络活动记录和文件变化记录等。定期检查文件系统也能揭示隐藏的入侵。在某些情况下，有可能发现预料之外的文件变化或新文件，这也可能是入侵者留下的痕迹。入侵者往往会尝试利用弱口令登录系统，而弱口令攻击 a.k.a dictionary attacks，有可能使系统管理者看到大量的失败的多次登录尝试，可以从中联系入侵者的IP地址及行动痕迹。

另外有网络流量可供检查。使用packet analyzer或流量分析软件，管理者可以抓取所有网络连接，并检查新连接，外部对话，未知类型的内容，可疑的端口记录，威胁访问，端口扫描等信息。此外，如果在新连接产生痕迹或威胁访问异常时出现任务完成，则可能暗示入侵者渗透了系统。

最后，使用nmap port scanner或netcat类似的工具，可以发现未知的端口开放，远程控制端口是否被入侵者访问，以及端口开放的历史痕迹。

为逐步检查入侵痕迹，可以使用Linux命令：

– `netstat -tanp 2> /dev/null`：根据端口号查看正在运行的网络连接

– `lsof -i 2> /dev/null`：查看打开的文件和端口

– `last 2> /dev/null`：查看系统最后登录的用户和相关信息

– `crontab -l 2> /dev/null`：查看定时计划

– `dmesg | grep -i “failed” 2> /dev/null`：查看系统内核活动，如设备失败和设备未安装等

查看上述命令，能够提供关键性线索来检查Linux系统是否被入侵，并发现入侵者，追踪入侵者的行动等信息，从而防止系统被入侵的可能。