1.入侵者可能会删除机器的日志信息
可以查看日志信息是否还存在或者是否被清空,相关命令示例:
2.入侵者可能创建一个新的存放用户名及密码文件
可以查看/etc/passwd及/etc/shadow文件,相关命令示例:
3.入侵者可能修改用户名及密码文件
可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,相关命令示例:
4.查看机器最近成功登陆的事件和最后一次不成功的登陆事
对应日志“/var/log/lastlog”,相关命令示例:
5.查看机器当前登录的全部用户
对应日志文件“/var/run/utmp”,相关命令示例: