1,shell下输入history,查看敲过的历史命令
1>发现自己自己没有敲过的命令,那就小心了,可能你的机器已经被黑了。
2>发现结果里连history命令都没有的话,说明你的机器很有可能已经被黑了,检查一下.~/.bash_history 文件,如果这个文件是空的话,检查一下该文件是否连接到/dev/null里去了,shell里输入 ls -l ~/.bash_history 命令,一般你会看到以下结果
-rw------- 1 root root 5228 2008-12-04 18:05 /root/.bash_history
假如结果是
lrwxrwxrwx 1 root root 5228 2008-12-04 18:05 /root/.bash_history-> /dev/null
那就请你马上端口网络,检查一下系统
2,ps法
用ps命令,检查可疑的进程,不过ps也不是万能的,检查前,最好确认下这个ps程序是否被人篡改了。一般ps命令位于/bin/ps ,大小一般是60,70k左右,如果之前计算过这个ps程序的md5值,那可以再计算一次,对比一下以前的。
3,检查一下未知账号
shell里输入grep :x:0: /etc/passwd 一般在一个标准安装的linux里,仅返回一行如 root:x:0:0:root:/root:/bin/bash
如果返回可能不止一行,那估计系统是有问题的
以上方法是一些简单方法
扫一扫
173
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
