通过登录主机,查找到对应的中毒主机,登录后查看异常情况 top 查看一下系统状况 who 查看当前登录用户(tty本地登陆 pts远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户,负载 chkconfig --list 查看服务自启动状态,可以看到所有的RPM包安装的服务 ps aux | grep crond 查看当前服务 crontab -l 列出某个用户cron服务的详细内容 netstat -antlp|more 使用netstat 网络连接命令,分析可疑端口、IP、PID awk -F: '$3==0{print $1}' /etc/passwd 查询特权用户特权用户(uid 为0) awk '/$1|$6/{print $1}' /etc/shadow 查询可以远程登录的帐号信息 more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)" 除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
|