Linux入侵排查总结
作者:互联网
检查常用指令是否被替换
md5sum /bin/<命令名> #check文件的md5值
命令执行历史
history
排查计划任务
ls /etc/cron*
检查用户
cat /etc/passwd cat /etc/shadow
查看登录信息
last
检查网络连接与端口开放
netstat -alntp
检查进程
ps -aux
查看自启动程序
ls –alt /etc/init.d/
cat /etc/rc.local
使用chkrootkit检查后门
./chkrootkit
查看日志文件
cat /var/log/<文件名> #不同种类的日志存储于不同文件
排查可疑文件
ls -a /tmp #比如瞅瞅tmp目录下
还有就是看安全设备告警、用d盾查杀一下webshell之类的
再想到啥补充啥吧
标签:文件,etc,检查,cat,排查,ls,Linux,入侵 来源: https://www.cnblogs.com/Yu--/p/16033723.html