黑客入侵排查

1、 alias  查一下是否有异常的命令别名

2、netstat -anpt  查看监听的网络连接

3、lsof -p 异常的pid    查看黑客的后门文件，放在沙箱中检测

4、history 查看一下历史命令 

5、ls -a  查看一下是否有  .bash_history  隐藏文件（正常是有的，没有可能被黑客删除）

6、who  查看一下当前登录的用户 

7、awk -F: '($3 == 0) {print $1}' /etc/passwd   查看当前的特权用户

8、cat /var/log/secure | grep failed  查看一下登录失败的日志，看是否存在暴力破解以及对应的ip

9、cd /var/spool/cron  切换一下计划任务的目录，查看一下计划任务

10、rpm -Vf /usr/bin  查看命令是否被修改过，确认修改后查看被修改的命令文件  cat /usr/bin/被修改的命令   

 

11、在被修改的命令文件中对应的文件放在沙箱检测

12、删除所有的后门文件 rm -rf 后门文件

13、删除黑客设置的账号  在 /etc/passwd 和 /etc/shadow 中删除对应的用户

14、删除被修改的命令 rm -rf  黑客命令，添加正常的命令