1.1账号安全
账号入侵排查
查询特权用户特权用户(uid 为0):
查询可以远程登录的帐号信息:
awk '/\$1|\$6/{print $1}' /etc/shadow
除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限:
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
禁用或删除多余及可疑的帐号:
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
1.2历史命令
历史命令入侵排查
进入用户目录下:
cat .bash_history >> history.txt
1.3检查异常端口
使用netstat网络连接命令,分析可疑端口、ip、PID
netstat -antlp|more
ctrl+c退出查看
查看下pid所对应的进程文件路径:
ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)
1.4检查异常进程
使用ps命令,分析进程:
ps aux | grep pid
1.5检查开机启动项
系统级别示意图
运行级别 |
含义 |