Linux入侵排查总结

检查常用指令是否被替换

md5sum /bin/<命令名> #check文件的md5值

命令执行历史

history

排查计划任务

ls /etc/cron*

检查用户

cat /etc/passwd

查看登录信息

last

检查网络连接与端口开放

netstat -alntp

检查进程

ps -aux

查看自启动程序

ls –alt /etc/init.d/
cat /etc/rc.local

使用chkrootkit检查后门

./chkrootkit

查看日志文件

cat /var/log/<文件名> #不同种类的日志存储于不同文件

环境变量

env

排查可疑文件

ls -a /tmp #比如瞅瞅tmp目录下

还有就是看安全设备告警、用d盾查杀一下webshell之类的

再想到啥补充啥吧