Linux黑客入侵檢測的排查思路（全）

檢查賬號

查看是否有新增用戶

檢查是否有UID和GID是0的賬號 UID為0代表具有root權限

查看具有root權限的用戶

查看用戶文件的修改日期

查看是否有空密碼的用戶(原理就是密碼文件的第二行不為空就是有密碼)

檢查日志

日志對于安全來說，非常重要，他記錄了系統每天發生的各種各樣的事情，你可以通過它來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕跡。日志主要的功能有：審計和監測。他還可以實時的監測系統狀態，監測和追蹤侵入者等等。

查看日志的最后10條

時事更新日志

查看所有開啟的端口

查看最近用戶的登錄時間

查看登錄失敗記錄

查看用戶上一次的登錄情況

檢查進程

查看全部進程，特別注意UID為0的

查看進程打開過得文件（-p后面接的PID）

查看守護進程的文件

檢查開機啟動進程

檢查系統

檢查文件

被入侵的網站，通常肯定有文件被改動，那么可以通過比較文件創建時間、完整性、文件路徑等方式查看文件是否被改動。

查找root用戶的文件

查看大于10M的文件

檢查計劃任務

查看root的計劃任務

查看計劃任務的配置文件

檢查歷史命令任務

查看用戶家目錄下的**.bash_history文件或者使用history**命令

鏈接：https://blog.csdn.net/weixin_46622350/article/details/117985398?spm=1001.2014.3001.5502