★Linux入侵检测脚本

双眼皮的猪

^_^
如果是Linux Incident Response Script,那么在查看运行级别哪里还是不能用看/etc/inittab的initdefault来看,可能在启动后被切换过运行级别.所以还是用who -r或者runlevel比较合适...
刚想起,哈哈

ayazero

实际上应该列出runlevel3和5下的启动项，这些都是可能被修改的

soway

看来你这一年变化很大

我在这一年多基本没关心多少安全，更多是被各自应用不停的要求。

ayazero

原帖由 "soway" 发表：
看来你这一年变化很大

我在这一年多基本没关心多少安全，更多是被各自应用不停的要求。

其实这一年也没达到自己的期望，偶尔看点技术只是为了工作需要，70%的精力花在别的地方了，刚开始每天下班能学4-5小时，后来工作越来越忙根本没有时间学习，出差更是把计划全部打乱，现在下班了只觉得累，根本无心学习，也是必须要换个环境了

BTW，下周末我回家了，有空可以来无锡逛逛，打我电话就行：13511063291

bigbomb

老兄的文章中有大量的数字2出现,比如
last >;>; /var/ayazero/ir 2>;>;$errFile
crontab -l >;>; /var/ayazero/ir  2>;>;$errFile
ls -alRu >;>; /var/ayazero/access  2>;>;$errFil
.....
这个数字2有什么用途,实在是不太明白,还望ayazero老兄指点一二

双眼皮的猪

写C程序的应该会注意到stderr吧,标准错误,一般定向到显示器(终端).我这里是定向到文件.
0  标准输入
1  标准输出
2  标准错误

2就是把错误信息写到$errFile这个文件^_^所以脚本运行完,看看这个文件中途有没发生错误^_^

bigbomb

您所指的错误是有人入侵后的错误,还是脚本执行后的错误?我也是刚学写脚本,若问的问题有些幼稚,还请您海涵.

双眼皮的猪

汗...
不要这么客气吧...
本脚本只会帮你把该分析的东西放在一起,至于分析这个步骤,还是要靠自己
脚本执行中有错误的话会写到$errFile,如果都帮你分析完,那工作量可就大多了.
所以在$errFile中看到的是脚本执行的问题.

miFor

少判断了ssh的认证文件

kai0200

不好意思问一下这个教本从哪能下！