1、1. 非正常的账号
1.1 在/etc/passwd里寻找任何可疑用户,尤其是Uid为0的用户
1.2 寻找被删除账号的目录下是否有可疑文件
命令
find / -nouser
find / -nogroup
2、2. 不正常的文件
2.1查找所有SUID和GUID和档案
find / -uid 0 –perm -4000
find / -uid 0 –perm 2000
2.2 查找隐藏文件和特殊文件
find / -name “ *”
find / -name “. *”
find / -name “.. *”
2.3 寻找proc和/tmp或者/var/tmp中异常的文档
3、3. 异常服务
3.1 检查所有服务
chkconfig –list
3.2 检查异常程序
ps –aux
lsof –i 异常进程pid
4、4. 异常网络活动
寻找异常的活动
netstat –anp
5、5. 异常自动化任务
寻找cron的异常行为
crontab –u root –l
6、6. 主机异常
6.1 查看系统上的记录找出可疑事件
主要包括
1.大量的认证失败(sshd,ftp等服务)
2.重新启动系统
3.重新启动软件
目录主要包括如下
/var/log/message 一般信息和系统信息
/var/log/secure 登陆信息
/var/log/maillog mail记录
/var/log/utmp /var/log/wtmp登陆记录信息
6.2 异常kernel
Dmesg
6.3 查找异常的rpm包
rpm -qa
rpm –V
