Linux入侵排查

网络排查：

netstat -pantu：查看当前端口开放情况
top：实时状态
ps：瞬时状态
ps -ef：详细显示进程状态信息
lsof：详细显示进程打开的文件

用户排查：

/etc/passwd：排查是否存在用户ID为0，组ID为0的可疑用户，并确定该用户是否可登录
/etc/shadow：linux的影子文件，记录了密码相关内容
/etc/sudoers:记录相关可执行sudo切换用户的命令
lastb：用户登录信息

文件排查：

stat filename
mtime：该时间若与攻击时间相同，则需注意。该文件有可能是攻击者创建的文件
ctime：
atime：
文件时间搜索：mtime
find /usr/bin/ -type f -newermt "2021-02-05 00:00" -a -not -newermt "2021-02-05 23:59"
持久化操作：
Centos6启动脚本存放位置：/etc/rc.d/init.d

服务查看

systemctl list-unit-files | grep centos
ll /etc/rc.d/rc3.d/：分析排查启动服务
chkconfig：查看开机自启
Centos7启动脚本存放位置：/etc/rc.d/rc.local
crontad：计划任务
crontab -l -u root