持续更新ing

1、检查用户和组

（1）查看/etc/passwd下的异常用户

（2）查看/etc/group组中有无异常

（3）检测空口令，uid为0的用户，和就有登陆权限的用户

awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd  
//查看具有登录权限的用户

awk -F: '($3==0)' /etc/passwd   
//查看UID为0的账号，UID为0的用户会自动切换到root用户，所以危害很大正常只有root
awk -F: '($2=="")' /etc/shadow   
//查看空口令账号，如果存在空口令用户的话必须设置密码

2、检查进程

（1）输入top，shift+p根据cpu排序,shift+m根据显存排序，查看下是否有异常的进程占用很高。

（2）psaux|more检测所有进程，找出不是很常见的进行下排查，这个须要结合一些经验。

查看到pid后检测proc位置检测下的pid路径，找到异常进程的程序文件kali linux，kill坠入程，之后删掉。

使用ll/proc/进程ID查看exe路径

查看该进程启动的完整行: ps eho command -p $PID
查看该进程启动时候所在的目录: readlink /proc/$PID/cwd
查看下pid所对应的进程文件路径：ls -l /proc/$PID/exe
查看该进程启动时的完整环境变量: strings -f /proc/1461/environ | cut -f2 -d ''

列出该进程所打开的所有文件: lsof -p $PID

3、检查启动项

（1）检测/etc/init.d/目录，有无异常服务

（2）vi/etc/rc.local查看有无异常启动项

（3）centos可使用chkconfig查看3为on的服务

4、检查计划任务

（1）crontab-l查看有没有被加入异常的计划任务，假如有须要依照文件路径做处理删掉

（2）检测/var/spool/cron有无用户的计划任务（部份计划任务是以其他用户添加的）

（3）检测/etc/cron.daily/等下边的计划任务，打开查看下，

例如vi/etc/cron.daily/logrotate黑客可以在一些正常的计划任务中添加异常代码，实现异常的启动项。

5、检查应用的敏感目录

例如/tmp/MySQL的运行data目录，有没有被注入大量恶意信息，假如发觉有好多异常的程序，须要删掉下（这些通常不容易清除干净，可以进行下备份恢复）

例如linux系统中出现类似Windows的目录或可执行文件假如判定不是用户自己上传的，很有可能系统被黑或数据库被黑。

6、检查系统日志

在Linux上通常跟系统相关的日志默认就会放在/var/log下边，若是一旦出现问题，用户就可以通过查看日志来迅速定位，及时解决问题。

常用日志文件如下：

/var/log/btmp：记录错误登陆日志，这个文件是二补码文件，不能直接vi查看，而要使用lastb查看。

/var/log/lastlog：记录系统中所有用户最后一次登陆时间的日志，这个文件是二补码文件linux计划任务没执行，不能直接vi，而要使用lastlog查看。

/var/log/wtmp：永久记录所有用户的登陆、注销信息linux计划任务没执行，同时记录系统的启动、重启、关机风波。同样这个文件也是一个二补码文件，不能直接vi，而须要使用last命令来查看。

/var/log/utmp：记录当前早已登陆的用户信息，这个文件会随着用户的登陆和注销不断变化，只记录当前登入用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询。

/var/log/secure：记录验证和授权方面的信息，只要涉及帐号和密码的程序就会记录，例如SSH登入，su切换用户，sudo授权linux 内核，甚至添加用户和更改用户密码就会记录在这个日志文件中。

本文原创地址：//sclmfb.cn/cxgxqmznbhyh.html编辑：刘遄，审核员：暂无