Linux黑客入侵檢測的排查思路（全）

檢查賬號

查看是否有新增用戶

檢查是否有UID和GID是0的賬號 UID為0代表具有root權(quán)限

查看具有root權(quán)限的用戶

查看用戶文件的修改日期

查看是否有空密碼的用戶(原理就是密碼文件的第二行不為空就是有密碼)

檢查日志

日志對于安全來說，非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過它來檢查錯誤發(fā)生的原因，或者受到攻擊時攻擊者留下的痕跡。日志主要的功能有：審計和監(jiān)測。他還可以實(shí)時的監(jiān)測系統(tǒng)狀態(tài)，監(jiān)測和追蹤侵入者等等。

查看日志的最后10條

時事更新日志

查看所有開啟的端口

查看最近用戶的登錄時間

查看登錄失敗記錄

查看用戶上一次的登錄情況

檢查進(jìn)程

查看全部進(jìn)程，特別注意UID為0的

查看進(jìn)程打開過得文件（-p后面接的PID）

查看守護(hù)進(jìn)程的文件

檢查開機(jī)啟動進(jìn)程

檢查系統(tǒng)

檢查文件

被入侵的網(wǎng)站，通常肯定有文件被改動，那么可以通過比較文件創(chuàng)建時間、完整性、文件路徑等方式查看文件是否被改動。

查找root用戶的文件

查看大于10M的文件

檢查計劃任務(wù)

查看root的計劃任務(wù)

查看計劃任務(wù)的配置文件

檢查歷史命令任務(wù)

查看用戶家目錄下的**.bash_history文件或者使用history**命令

鏈接：https://blog.csdn.net/weixin_46622350/article/details/117985398?spm=1001.2014.3001.5502