centos挖矿机入侵

⑴ centos7 中的hosteye是什么进程

你安装了主机安全客户端，你可以杀掉这个进程，没有什么影响的。这个可以试试。建议看看《Linux就该这么学》 里面有个专栏是 Linux命令大全(手册) 加入我们的群，一起讨论 Linux就该这么学》希望能帮到你。

⑵ 如何在CentOS上配置基于主机的入侵检测系统

为ISSRealSecure的部署图，RealSecure是一种混合型的入侵检测系统，提供基于网络和基于主机的实时入侵检测。
其控制台运行在Windows2000上。
RealSecure的传感器是自治的，能被许多控制台控制。
各部分的功能如下：（1）ReaISecure控制台：对多台网络传感器和服务器代理进行管理；
对被管理传感器进行远程的配置和控制；
各个监控器发现的安全事件实时地报告控制台。
（2）NetworkSensor（网络引擎）：对网络进行监听并自动对可疑行为进行响应，最大程度保护网络安全；
运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包；
检测本地网段，查找每一数据包内隐藏的恶意入侵，对发现的入侵做出及时的响应。
当检测到攻击时，网络引擎能即刻做出响应，进行告警/通知（向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台），记录现场（记录事件日志及整个会话），采取安全响应行动（终止入侵连接、调整网络设备配置，如防火墙、执行特定的用户响应程序）。
（3）ServerSensor（服务器代理，安装在各个服务器上）：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测；
具有包拦截、智能报警以及阻塞通信的能力，能够在入侵到达操作系统或应用之前主动阻止入侵；
自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。

⑶ centos如何允许root 远程登录

1. 以root权限执行 vi /etc/ssh/sshd_config。

2. 将 #PermitRootLogin yes 这一行的“#”去掉。

3. 重启ssh服务 /etc/rc.d/init.d/sshd restart （root执行）。
   

⑷ 阿里云centos 被门罗币病毒入侵了，netstat -anp找不到进程号，如何结束进程，但不能重启服务器

ps aux看进程号，根据进程号找到病毒文件位置，先不要删除，先看下crontab -e，是否有异常任务，再看下自己家目录下是否有异常文件或者改动，还有就是开机启动文件是否有写过任务。。。。如果你不是很懂linux系统的话，建议备份数据重装吧（小心伪装成数据文件）。因为删除起来确实很麻烦，我删了一下午才搞定

⑸ 如何在CentOS上配置基于主机的入侵检测系统(IDS)的教程

所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一，就是检测文件篡改的机制——不仅仅是文件内容，而且也包括它们的属性。

AIDE （“高级入侵检测环境”的简称）是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性，这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs，以及md5/sha校验值在内的各种特征。

AIDE通过扫描一台（未被篡改）的Linux服务器的文件系统来构建文件属性数据库，以后将服务器文件属性与数据库中的进行校对，然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因，AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。

对于某些客户，他们可能会根据他们的安全策略在他们的服务器上强制安装某种入侵检测系统。但是，不管客户是否要求，系统管理员都应该部署一个入侵检测系统，这通常是一个很好的做法。

在 CentOS或RHEL 上安装AIDE

AIDE的初始安装（同时是首次运行）最好是在系统刚安装完后，并且没有任何服务暴露在互联网甚至局域网时。在这个早期阶段，我们可以将来自外部的一切闯入和破坏风险降到最低限度。事实上，这也是确保系统在AIDE构建其初始数据库时保持干净的唯一途径。（LCTT 译注：当然，如果你的安装源本身就存在安全隐患，则无法建立可信的数据记录）

出于上面的原因，在安装完系统后，我们可以执行下面的命令安装AIDE：

# yum install aide

我们需要将我们的机器从网络断开，并实施下面所述的一些基本配置任务。

配置AIDE

默认配置文件是/etc/aide.conf，该文件介绍了几个示例保护规则（如FIPSR，NORMAL，DIR，DATAONLY），各个规则后面跟着一个等号以及要检查的文件属性列表，或者某些预定义的规则（由+分隔）。你也可以使用此种格式自定义规则。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512

例如，上面的例子说明，NORMAL规则将检查下列属性的不一致性：权限（p）、索引节点（i）、链接数（n）、用户（u）、组（g）、大小（s）、修改时间（m）、创建时间（c）、ACL（acl）、SELinux（selinux）、xattrs（xattr）、SHA256/SHA512校验和（sha256和sha512）。

定义的规则可灵活地用于不同的目录和文件（用正则表达式表示）。

条目之前的感叹号（！）告诉AIDE忽略子目录（或目录中的文件），对于这些可以另外定义规则。

在上面的例子中，PERMS是用于/etc机器子目录和文件的默认规则。然而，对于/etc中的备份文件（如/etc/.*~）则不应用任何规则，也没有规则用于/etc/mtab文件。对于/etc中的其它一些选定的子目录或文件，使用NORMAL规则替代默认规则PERMS。

定义并应用正确的规则到系统中正确的位置，是使用AIDE最难的一部分，但作一个好的判断是一个良好的开始。作为首要的一条规则，不要检查不必要的属性。例如，检查/var/log或/var/spool里头的文件的修改时间将导致大量误报，因为许多的应用程序和守护进程经常会写入内容到该位置，而这些内容都没有问题。此外，检查多个校验值可能会加强安全性，但随之而来的是AIDE的运行时间的增加。

可选的，如果你使用MAILTO变量指定电子邮件地址，就可以将检查结果发送到你的邮箱。将下面这一行放到/etc/aide.conf中的任何位置即可。

MAILTO=root@localhost

首次运行AIDE

运行以下命令来初始化AIDE数据库：

# aide --init

根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz，以便AIDE能读取它：

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz

现在，是时候来将我们的系统与数据库进行第一次校对了。任务很简单，只需运行：

# aide

在没有选项时，AIDE假定使用了--check选项。

如果在数据库创建后没有对系统做过任何修改，AIDE将会以OK信息来结束本次校对。

生产环境中管理AIDE

在构建了一个初始AIDE数据库后，作为不断进行的系统管理活动，你常常需要因为某些合法的理由更新受保护的服务器。每次服务器更新后，你必须重新构建AIDE数据库，以更新数据库内容。要完成该任务，请执行以下命令：

# aide --update

要使用AIDE保护生产系统，可能最好通过任务计划调用AIDE来周期性检查不一致性。例如，要让AIDE每天运行一次，并将结果发送到邮箱：

# crontab -e

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" [email protected]

测试AIDE检查文件篡改

下面的测试环境将演示AIDE是如何来检查文件的完整性的。

测试环境 1

让我们添加一个新文件（如/etc/fake）。

# cat /dev/null > /etc/fake

测试环境 2

让我们修改文件权限，然后看看它是否被检测到。

# chmod 644 /etc/aide.conf

测试环境 3

最后，让我们修改文件内容（如，添加一个注释行到/etc/aide.conf）。

echo "#This is a comment" >> /etc/aide.conf

上面的截图中，第一栏显示了文件的属性，第二栏是AIDE数据库中的值，而第三栏是更新后的值。第三栏中空白部分表示该属性没有改动（如本例中的ACL）。

结尾

如果你曾经发现你自己有很好的理由确信系统被入侵了，但是第一眼又不能确定到底哪些东西被改动了，那么像AIDE这样一个基于主机的入侵检测系统就会很有帮助了，因为它可以帮助你很快识别出哪些东西被改动过，而不是通过猜测来浪费宝贵的时间。谢谢阅读，希望能帮到大家，请继续关注，我们会努力分享更多优秀的文章。

⑹ centos 黑客入侵 怎么办

黑客可以使用任何系统入侵电脑，常用系统有windows、linux内核的各种发行版本，例如ubuntu、centos等。 黑客入侵常见方法： 方法一： 1、发送远程登陆木马病毒，用户触发。 2、黑客登陆电脑。 方法二： 1、利用外网进行PING。 2、使用系统已知漏...

⑺ 1.centos linux软件的分发有几种方法，分别如何安装

我现在用的是Linux系统，也经常安装各种Linux上的软件，根据我自己平时的使用，我就归纳一下。
最常用的分发方式应该是我们平时说的软件源了，安装软件源的软件非常方便，只要有网，用apt-get或者yum命令就能安装了，我的电脑上的g++、gdb、eclipse-CDT就是用yum安装的。
还有就是rpm包、deb包之类的方式，其实软件源方式只是把软件依赖性信息等放在了容器里，解决了安装软件时的软件依赖性问题，实际安装的还是RPM和deb软件包，直接下载RPM包或者deb包安装，需要面临软件依赖性问题，有软件依赖安装的时候会有提示，按照它的提示把依赖的那些软件安装上就好了。
另外的一些分发方式是以压缩包的形式发布软件。最常见的是以源码方式发布，把所有的源码打包，你下载下来需要先解压，解压后在命令行切换到源码目录，然后编译安装。编译安装的步骤都一样，你可以网络一下，编译安装所依赖的不是软件，而是函数库，如果你的系统上没有相应的函数库，编译的时候会报错，这是编译源码安装比较烦人的地方，不过我每次都安装成功了，呵呵。
还有直接以二进制文件形式发布软件的，也是一个压缩包，有点像Windows系统上的绿色软件，下载解压后直接就能运行，这样的软件我遇到了几个，像图形界面调试器Affinic Debugger GUI、Web漏洞扫描工具Vega都是这样发布的，，我的习惯是把它们的路径加入到alias中，自己起一个别名，方便用命令启动。
还有的软件是以单个二进制文件发布的，这个二进制文件是个安装器，而且往往是图形界面的安装器，和Windows系统的软件发布类似，安装这类软件就是运行这个二进制文件之后点击下一步下一步，虚拟机软件VMware Workstation、入侵工具Metasploit就是这样发布的。注意一点，把二进制安装器下载下来之后，要先用chmod命令给他加x可执行权限，然后运行时加当前目录运行。
还有用shell脚本发布的，就是一个后缀.sh的文件，支付宝的Linux版浏览器安全插件就是用.sh文件来安装的，在终端运行这个shell就可以了。

⑻ 怎么看 centos 入侵痕迹

postfix sendmail qmail 都可以 如何架构 你自己要看看书了 这样直接说你也有点雾水如果是postfix 下载所需组件 或者源码包 设置/etc/postfix/mail.cf 创建用户权限 防火墙

⑼ centos 挖矿 一天挖多少

这个确实很可疑
先断开网路，然后查看./m64有什么内容

根据 stratum+tcp，感觉像是比特币之类的计算，所以cpu占用极高，有人用的电脑挖矿？

⑽ 求Linux centos 系统的一款杀毒软件。

1.CentOS 4.4 官方软件下载地址: http://www.f-prot.com/download/home_user/
2.linux samba share
3. Clamav
4. avast
对服务器来说，杀软并不是必要要求，实时扫描只会浪费CPU ，无论windows还是linux都是这样的，
但是如果作为桌面应用，linux也没有多少杀毒软件可用，一般就 avast吧，还免费的。