缺月挂梧桐 漏断人初静

导航

centos 异常时判断是否被入侵

 

1、查看系统命令有没有被篡改过

stat /usr/bin/top

stat /bin/ps

对比修改时间与系统异常时间是否吻合

 

2、执行 rpm 验证是否修改过系统命令。正常情况下,您应该查看不到修改信息

 

3、执行命令 iftop -i eth1 -n -P 查看当前实例是否连接到异常域名

 

如果符合以上三个特征,基本可以判断服务器已经中毒了。

 

posted on 2019-04-03 11:44  勤劳の洗碗机  阅读(132)  评论(0编辑  收藏  举报