写一写拿到一台vps以后要做的事情（二）

年底了基本没啥事，还有几天过年了，我现在算是值守状态，家里远的该回家的都回家了，我在这里先给大家拜个早年！

上一篇：写一写拿到一台vps以后要做的事情 写完以后感觉还差点东西，我来补充下！

首先众所周知，linux这个系统是一套文件系统，那么最重要的就是文件了，很多时候出现一些问题，我们能做的就是查看日志文件，对于我们来说，日志文件的重要性可想而知。那么重要的文件有哪些呢？

比如：

/bin/boot/lib/sbin

/etc/passwd

/etc/hosts

等等，都是很重要的文件

那么我们新到手以后封印了root以后，我们只能使用其他的用户名登陆，这个时候我们还应该把重要的文件保护起来，不能让是个人就能修改，因为一旦他能修改文件，那么他就会成为一个幽灵，我们找不到也摸不着没有一丝丝痕迹。

这个时候我们需要锁定重要文件

使用命令：chattr

这个命令可以锁定文件，相当好用，语法如下：

chattr -R +i /bin/boot/lib/sbin

chattr +i /etc/passwd

chattr +a /var/log/wtmp

我只是举了几个例子，通过这个命令锁定文件，让更改的机会变小使其留下痕迹，我们才能找到他

当我们锁定了以后，他们可能已经干完坏事了，我们得找到他们干了什么坏事。最常见的就是rootkit后门了。

我们这里可以使用2个工具，分别是chkrootkit和PKHunter

chkrootkit在检测时候也会使用一些系统的命令如果系统命令被替换也是没啥用或者说检测不出来

我比较推荐使用PKHunter，安装完成以后设置个定时每天看看日志，只要没红的，该用用。

假设一下，我们已经被入侵了，我现在需要找到这个人在我的服务器上干了什么。我应该怎么找？

首先我们要检查文件的完整性，如果说我们的检测工具或者系统命令都被替换了，那找到了处理就是个问题了，当然了，祈祷他是通过rpm形式安装的， rpm -Va！通过这个命令检查文件的完整性。不出现M正常使用。

当然也可以通过/var/log/secure,/var/log/messages,/var/log/wtmp等等日志找到蛛丝马迹。

以上呢就是一些废话，当发现被入侵，直接重做系统，他啥都剩不下。。。最简单有效。