系统基本安全检查步骤

一、查看iptables防火墙配置，是否符合业务需求，iptables -L

二、查看/etc/ssh/sshd_config 远程登录配置，是否只允许指定的用户以指定的IP地址去访问

三、查看最近用户登录记录，无异常记录

四、查看/var/log/messages

       日志有检查到关于pptp服务产生的异常，停止该服务即可。

五、检查启动的服务

①   、检测是否有服务器不必要启动的服务，本次在110.80.136.19检测到不必要启动的服务为master，portreserve，pptpd

②   、和技术振宁确认没有用到后，即可停止postfix, portreserve,pptpd服务,取消开机启动。

六、查看开机运行的程序，未见异常

七、chkrootkit检测后门，没有检测到被感染的程序

提示： 该工具需要epel镜像源支持，须先安装epel，  yum  install –y  chkrootkit

①   、安装好后，执行 /usr/local/chkrootkit，开始扫描

②   、如果提示 not infected表示未被感染，如果提示  infected 则表示被感染。

八、clamav病毒查杀，分两部分查杀，一部分是代码，一部分是系统，安装yum install

提示：该工具需要epel镜像源支持，须先安装epel，  yum  install –y  clamav

①   、代码部分须导入本地，然后用本地一些杀毒软件查杀，最好别在系统上直接查杀，防止查杀到异常，至WEB程序无法使用。

②   、更新病毒库  /usr/bin/freshclam

③   、linux系统查杀，指定目录查杀 /usr/bin/clamscan  -r  /etc

④   、对扫描到的病毒进行删除  /usr/bin/clamdscan –remove 默认最好别带该参数，否则会自动删除。

⑤   、扫描完后，会在当前目录生成一个 access.log的日志文件，如果查到文件是病毒会显示一个 FOUND字样，检测通过的话，会显示OK

参考网址：http://www.myhack58.com/Article/sort099/sort0102/2013/37585_2.htm

下图是在  110.80.136.19 服务器上扫描/usr目录的结果，没有查杀到病毒。

九、检查数据备份

报告：

本次检查的 110.81.155.233,27.152.28.196 未见异常，通过后门木马扫描，病毒查杀，均未找到可疑文件。

异常记录：  110.80.136.19 开机启动的服务有21项，已经停止了 master，portreserve，pptpd 三项不必要的服务。其他的后续和技术商量后，继续关闭， 另外该服务未备份数据，和技术商量后，把要备份的数据写入 crontab .