Linux:
1.检查系统日志
检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况)
注:此时last命令也有可能变得不可靠,需要检查
---------------------
2.检查系统用户
查看是否有异常的系统用户
[root@yeyiboy-IDC ~]# cat /etc/passwd
查看是否产生了新用户,UID和GID为0的用户
[root@yeyiboy-IDC ~]# grep “0” /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户
[root@yeyiboy-IDC ~]# ls -l /etc/passwd
查看是否存在特权用户
[root@yeyiboy ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd
查看是否存在空口令帐户
[root@yeyiboy ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow
---------------------
3.检查异常进程
top #仔细检查异常进程pid
ls -l /proc/pid/exe 查看异常进程命令所在地
4.简单判断有无木马
有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
---------------------
删除如下目录及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /