1.入侵者可能会删除机器的日志信息,我们可以查看日志信息还存在进行排查:
命令:ll -h /var/log/*
du -sh /var/log/*
2.入侵也会新建一个存放用户名和密码文件,可以查看/etc/passed及/etc/shadow文件:
命令:ll /etc/pass*
ll /etc/sha*
3.还可能修改了用户名和密码的文件,可以查看/etc/passwd及/etc/shadow文件内容来进行甄别:
命令:more /etc/passwd
more /etc/shadow
4.查看机器最近登录成功的事件和最后一次登录不成功的登录事件:(对应日志/var/log/lastlog)
命令:lastlog
5.查看当前登录的全部用户:(对应日志文件/var/run/utmp)
命令:who
6.登录过的用户:(对应的日志文件/var/log/wtmp)
命令:last
7.机器连接时间:(对应的日志文件/var/log/wtmp)
命令:ac -dp
8.查看/var/log/secure日志文件,尝试发现入侵者的信息:
命令:cat /var/log/secure | grep -i "accepted password"
9.异常进程树
先通过top命令查看异常进程对应的PID
命令:top
然后通过虚拟文件系统目录来查找该进程的可执行文件:
命令: ll /proc/PID/ | grep -i exe
再通过查看文件命令去查看该可疑文件:
命令:ll