//查看出口流量
iftop -n
//查看最近一天有改动的文件
find ./ -mtime 0
//按照指定时间段查询有改动的文件
find / -type f \( -newermt '2018-11-02 03:00:00' -a -not -newermt '2018-11-02 05:00:00' \)
//查看当前正在登录用户
who
//查看最近登录
last -n 10
列属性
1.用户名
2.终端位置(pts/0伪终端,意味着从SSH或telnet等工具远程连接的用户,图形界面终端归于此类。tty0直接连接到计算机或本地连接的用户。后面的数字代表连接编号)
3.登录IP或内核(如果是:0.0或者什么都没有,意味着用户通过本地终端连接。除了重启活动,内核版本会显示在状态中)
4.开始时间-结束时间(still login in尚未退出,down直到正常关机,crash直到强制关机)
持续时间
//若last一直被重写 覆盖
//查看后门
cd /root/.ssh
//查询自动任务
crontab -l -u [root用户]
//删除自动任务
crontab -e
//发送给登录用户信息
write root pts/1
eg:write 用户名 终端位置(详见last)
//踢掉某用户
pkill -kill -t pts/1
//修改密码
passwd
//将ip封入deny
vi /etc/hosts.deny
# 限制所有
#in.sshd:ALL
# 限制telnet
#in.sshd:47.***.***.55/255.255.255.128
# 限制所有服务
ALL:47.***.***.55/255.255.255.128
//使deny生效
若不生效请进行ldd /usr/sbin/sshd |grep libwrap.so.0
查看是否支持tcp_Wrappers防火墙,即服务应用了libwrapped。(因为hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件)
//删除入侵者的相关程序
修改入侵者程 777 ,但是无法修改,我们选用chmod的底层进行处理。
chattr是用来更改文件属性
lsattr可用来查看文件的属性
[root@VM_14_141_centos etc]# lsattr shz.sh
----i----------- shz.sh
当前文件含有i属性,所以不能被操作,及时root用户也不可以
那么我们要把它删掉
chattr -i /etc/sysctl.conf #删掉
chattr +i /etc/sysctl.conf #添加
//删除登录信息
//记录用户登录信息文件
/var/run/utmp----记录当前正在登录系统的用户信息;
/var/log/wtmp----记录当前正在登录和历史登录系统的用户信息;
/var/log/btmp:记录失败的登录尝试信息。
//本次记录
建议
修改ssh端口号,不使用弱密码
//修改ssh端口
vi /etc/ssh/sshd_config
将port打开
防火墙开启对应端口