一、账户检查
cat /etc/passwd
grep :: /etc/passwd #检查是否产生了新用户,和UID、GID是0的用户
ls -l /etc/passwd #查看文件修改日期
awk -F: ‘$3= = {print $1}’ /etc/passwd #查看是否存在特权用户
awk -F: ‘length($2)= = {print $1}’ /etc/shadow #查看是否存在空口令帐户
二、检查系统守护进程
定位导致高流量的进程, 然后通过它的行为, 分析是否是黑客挂的马
iftop -nP 查看流量情况
如先用
iptraf-ng
查下,如果UDP包发的很多,基本都被人装了后门
top (ps -ef) #查看进程
lsof –c 可疑进程名 #查看关联文件,发现对外的 tcp 连接
查看文件路径。并查看文件创建时间
whereis 可疑进程名
ls -al 可疑进程名
ps -aux(注意UID是的)
lsof -p pid(察看该进程所打开端口和文件)
cat /etc/inetd.conf | grep -v “^#” #(检查守护进程)
检查隐藏进程
ps -ef|awk ‘{print }’|sort -n|uniq >
ls /porc |sort -n|uniq >
diff
三、检查网络连接和监听端口
netstat –an
netstat –rn
ifconfig –a
四、查看正常情况下登录到本机的所有用户的历史记录
五、检查系统中的 core 文件
find / -name core -exec ls -l {} \;
六、 查看系统、文件异常
find -type f -mtime - #查找最近5天内更改的文件
find / -uid –perm - –print
find / -size +k –print
find / -name "..." –print
find / -name ".." –print
find / -name "." –print
find / -name " " –print #注意SUID文件,可疑大于10M和空格文件
find / -name core -exec ls -l {} ; #(检查系统中的core文件)
检查系统文件完整性
md5sum –b 文件名
md5sum –t 文件名
七、检查系统文件完整性
rpm –qf /bin/ls
rpm -qf /bin/login
md5sum –b 文件名
md5sum –t 文件名
八、后门扫描
后门账户检查
cat /etc/passwd
grep :: /etc/passwd #检查是否产生了新用户,和UID、GID是0的用户
ls -l /etc/passwd #查看文件修改日期
awk -F: ‘$3= = {print $1}’ /etc/passwd #查看是否存在特权用户
awk -F: ‘length($2)= = {print $1}’ /etc/shadow #查看是否存在空口令帐户
后门检查
cat /etc/crontab
ls /var/spool/cron/
cat /etc/rc.d/rc.local
ls /etc/rc.d
ls /etc/rc3.d
find / -type f -perm