Linux服务器被入侵检查步骤

Linux服务器被入侵检查步骤

查看/etc/passwd和/etc/shadow文件是否有可疑账号

查找服务器登录日志记录

核心启动日志:/var/log/dmesg

系统报错日志:/var/log/messages

邮件系统日志:/var/log/maillog

FTP系统日志:/var/log/xferlog

安全信息和系统登录与网络连接的信息:/var/log/secure

登录记录:/var/log/wtmp

News日志:/var/log/spooler

RPM软件包:/var/log/rpmpkgs

XFree86日志:/var/log/XFree86.0.log

引导日志:/var/log/boot.log   记录开机启动讯息，dmesg | more

cron(定制任务日志)日志:/var/log/cron

文件/var/run/utmp 记录现在登录的用户

文件 /var/log/wtmp 记录所有的登录和登出，who /var/log/wtmp

文件 /var/log/lastlog 记录每个用户最后的登入信息

文件 /var/log/btmp 记录错误的登入尝试

使用top命令查看是否有可疑进程

使用命令netstat –an | more查看是否开启可疑端口和连接外部可疑ip

使用命令find / -mtime -10 –type –f查看十天之内根目录下被修过的文件

mtime ---n天以内

type –f 普通文件类型

待补充。。。。。。。。。。。。。。。。。。