1、用root用户登录,然后 w 命令列出最近登录的用户
#passwd -l nobody(这个为可疑用户登录名)
查看是否现在依然登录
#ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
#删除进程
# kill -9 6051
2、通过last命令查看用户登录事件
#last 命令的输出结果来源于/var/log/wtmp文件
3、查看系统日志
/var/log/messages、/var/log/secure
每个用户目录下的.bash_history文件
特别是/root目录下的.bash_history文件。
4、检查并关闭系统可疑进程
ps、top检查可疑进程
使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入
然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。
查看文件句柄。
5、查看文件是否被改动
对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成
杀进程:kill
法一、 ps -ef | grep httpd kill -9 PID
法二 、 killall httpd