1.異常程序
可以用top指令檢視是否有占用CPU較高的程序,下面截圖的程序異常,并且占用較高CPU。
2.linux系統中出現類似Windows的目錄或可執行檔案
如果判斷不是使用者自己上傳的,很有可能系統被黑或資料庫被黑。
3.檢查定時任務crontab
可以使用crontab -l檢查定時任務是否異常,比如* 1 20 * * /bin/rm -rf /home/wwwroot計劃執行删除wwwroot目錄,可能存在異常。
#檢視定時任務
[[email protected] home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot
4.檢查/etc/init.d/目錄
檢查這個目錄是否有異常檔案,或者一些奇怪的檔案擁有x可執行權限。ll -t按照時間排序,最近添加的、一些不認識的服務,打開檢視
執行内容分析。
5.檢查/etc/rc.local
vi /etc/rc.local是否有加載異常啟動。如果有都需核實是否正常。
6.檢查/etc/passwd
vi /etc/passwd是否有異常賬戶,第三個參數:500以上就是後面建的賬戶,其它則為系統的使用者.
使用常用指令檢查
history:檢視曆史指令
crontab -l:檢視定時任務
cat /etc/passwd:檢視已經建立的使用者
cat /etc/group:檢視組
who:目前線上使用者
who /var/log/wtmp:最近登入情況
screen -ls:列出所有session
linux安全建議
不要安裝來曆不明的一鍵腳本
盡量避免直接使用root使用者
使用較為複雜的密碼或者使用密鑰登入
修改SSH預設端口
關閉資料庫遠端連接配接
總結
檢查/etc/init.d/目錄是否有異常檔案或權限異常
crontab -l檢查是否有異常的定時任務
top檢視是否有異常程序
who /var/log/wtmp檢視最近幾次登入是否有異常IP
linux pid程序PID值0-299為系統程序。