服务器被入侵检查步骤
- 查看/etc/passwd和/etc/shadow文件是否有可疑账号
- 查找服务器登录日志记录
核心启动日志:/var/log/dmesg
系统报错日志:/var/log/messages
邮件系统日志:/var/log/maillog
FTP系统日志:/var/log/xferlog
安全信息和系统登录与网络连接的信息:/var/log/secure
登录记录:/var/log/wtmp
News日志:/var/log/spooler
RPM软件包:/var/log/rpmpkgs
XFree86日志:/var/log/XFree86.0.log
引导日志:/var/log/boot.log 记录开机启动讯息,dmesg | more
cron(定制任务日志)日志:/var/log/cron
文件/var/run/utmp 记录现在登录的用户
文件 /var/log/wtmp 记录所有的登录和登出,who /var/log/wtmp
文件 /var/log/lastlog 记录每个用户最后的登入信息
文件 /var/log/btmp 记录错误的登入尝试
- 使用top命令查看是否有可疑进程
- 使用命令netstat –an | more查看是否开启可疑端口和连接外部可疑ip
- 使用命令find / -mtime -10 –type –f查看十天之内根目录下被修过的文件
mtime ---n天以内
type –f 普通文件类型
待补充。。。。。。。。。。。。。。。。。。
参考链接:
日志的作用
https://www.cnblogs.com/balaamwe/archive/2012/02/28/2371306.html