linux服务器被入侵排查流程

主机被入侵排查

1.敏感目录的文件分析例如tmp目录,命令目录/usr/bin /usr/sbin目录
查看tmp目录最近修改文件时间ls -alt /tmp

2.查看开机启动服务,启动脚本
chkconfig –list 查看开机启动服务
查看开机启动脚本
可疑文件确认
查看文件修改的时间: stat /xxx/xxx
新增文件确认
查找24小时内被修改的文件:find / -mtime 0 -name “ruitang
查看72小时内被修改的文件:find / -mtime -2
find:在指定目录下查找文件
-type b/d/c/p/l/f 查是块设备,目录,字符设备,管道,符号,连接,普通文件
-mtime -n +n 按文件更改时间来查找文件, -nzhi


云野 » linux服务器被入侵排查流程

发表回复