安全检测

“安全检测”模块旨在对Linux主机排查时提供便利，支持系统安全配置、常见挖矿进程、恶意扫描进程等安全项检测，实现主机侧的自动全面化检测，方便后续进行黑客攻击路径溯源，排查入侵痕迹，定位恶意样本。

操作步骤

点击“安全检测”按钮，即可开始安全检测。

共有十一个安全检测项，分别为系统账户检测、SSHD远程服务检测、重要文件权限及属性检测、重点软件检测、网站权限检测、后门检测、恶意进程检测、历史命令检测、日志排查、rookit检测以及其他项目检测。

检测项介绍

系统账户检测

检测非root的超级用户、空口令用户、用户权限异常以及账户密码策略不合理等问题

SSHD远程服务检测

检测端口、当前版本是否存在漏洞、是否允许空密码登录

重要文件权限及属性检测

重要系统执行文件权限/属性是否正常

重点软件检测

主要针对Apache、Nginx、Redis、FTP、MySQL这五个软件进行安全扫描。检测是否存在弱口令、当前软件版本是否存在漏洞。

后门检测

检测内容包含有SSH Server wrapper检测、主机 Sudoer检测、alias检测、Setuid检测、主机计划任务内容检测、环境变量检测、系统启动服务检测、inetd配置文件检测、xinetd配置文件检测、预加载配置文件检测。

恶意进程检测

检测内容包含进程文件是否存在恶意代码、隐藏进程扫描、挖矿进程扫描。

历史命令检测

针对主机的历史命令进行安全排查，查看主机历史命令中是否存在恶意操作。

日志排查

通过对系统日志的详细分析，我们可以追踪到系统日志中存在恶意行为或者异常情况。

rookit检测

该检测项能够检测各种已知的rootkit特征码，并针对一些常用程序文件进行安全扫描，进而本服务器是否已经感染rootkit。

其他项目检测

检测是否开启防火墙、umask安全配置检测。

FAQ

Q：什么是环境变量？他有什么作用？

A：在Linux操作系统中，环境变量是一组用于存储系统和应用程序信息的变量；环境变量会在系统开启的时候自动加载到操作系统中，并且可以在整个操作系统中访问。

Q：什么是后门攻击？

A：一种绕过软件的安全性控制，从比较隐秘的通道获取对程序或系统访问权的黑客方法。

Q：什么是Rootkit？

A：一款Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，从而让攻击者保住权限，以使它在任何时候都可以使用root 权限登录到别人的系统上。