高级服装定制网站,超级工程网站建设,淘宝做个网站多少钱,上海大型网站设计公司1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号#xff0c;主要看一下帐号
后面是否是 nologin,如果没有 nologin 就要注意#xff1b;
2、通过 who 命令查看当前登录用户#xff08;tty 本地登陆 pts 远程登录#xff09;、w 命令查看系统信息#x…1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号主要看一下帐号
后面是否是 nologin,如果没有 nologin 就要注意
2、通过 who 命令查看当前登录用户tty 本地登陆 pts 远程登录、w 命令查看系统信息想知道某一时刻用户的行为、uptime查看登陆多久、多少用户负载
3、修改/etc/profile的文件在尾部添加相应显示时间、日期、ip、命令脚本代码这样 输入history命令就会详细显示攻击者 ip、时间历史命令等
4、用 netstat -antlp|more命令分析可疑端口、IP、PID查看下 pid 所对应的进程文件路径运行ls -l /proc/$PID/exe 或 file /proc/$PID/exe$PID 为对应的pid 号
5、使用ps命令分析进程 ps aux | grep pid
6、使用 vi /etc/inittab 查看系统当前运行级别通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件
7、看一下crontab定时任务是否存在可疑启用脚本
8、使用chkconfig --list 查看是否存在可疑服务
9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹
10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀 11、如果有 Web 站点可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数evel、system、shell_exec、exec、passthru system、popen 进行查杀Webshell 后门。
