linux被入侵后查找方法

w853319

我入侵你 ！你怎么查到我？ (zt)
1、检查系统密码文件 ：查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。输入命令 awk –F:’$3==0 {print }’ /etc/passwd来检查一下passwd文件中有哪些特权用户。顺便再检查一下系统里有没有空口令帐户：awk –F: ‘length()==0 {print }’ /etc/shadow
2、查看有没有奇怪的进程：ps –aef | grep inetd 。尤其注意有没有以. x开头的进程。
3、检查系统守护进程：输入：cat /etc/inetd.conf | grep –v “^#”
4、检查网络连接和监听端口：分别用输入netstat -an，netstat –rn， ifconfig –a等来检查。
5、检查系统日志：晕，被楼主做手脚啦，此项去掉。
6、检查系统中的core文件：输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性：rpm –V `rpm –qf 文件名` 来查询，哈哈，方法是简单些，但有时也有效。
8、检查内核级后门：首先，检查系统加载的模块，根据不同的系统，使用lsmod命令或modinfo命令来查看。此法好累。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/13788/showart_252410.html