1、木马/后门查杀
1-1:利用chkrootkit工具检测
1-2:下载地址:http://www.chkrootkit.org/download/
1-3:上传到服务器后,解压:tar -xzvf chkrootkit.tar.gz
1-4:cd chkrootkit-0.52
1-5:make
1-6:利用root用户执行:./chkrootkit | grep INFECTED 如果有信息显示,则有问题;否则安全。
2、服务器是否暴力破解(root用户执行)
利用 cat /var/log/secure|grep Failed 命令
查看是否存在利用同一用户进行暴力破解。如有,记录源ip
3、查看登录服务器的终端数
last -n 50
排查是否有可疑用户
4、查看进程数异常
ps aux
5、查看系统中上传文件功能的目录,是否上传了可疑文件
ll /home/test | grep -i -v -E '.doc|.docx|.execl|.xls|.xlsx|.ppt|.pptx|.jpg|.png'
上述中为白名单后缀,不区分大小写。此条命令显示出不在白名单内的文件。
网友评论