linux服务器被入侵排查流程

主机被入侵排查

1.敏感目录的文件分析例如tmp目录，命令目录/usr/bin /usr/sbin目录
查看tmp目录最近修改文件时间ls -alt /tmp

2.查看开机启动服务，启动脚本
chkconfig –list 查看开机启动服务
查看开机启动脚本
可疑文件确认
查看文件修改的时间： stat /xxx/xxx
新增文件确认
查找24小时内被修改的文件：find / -mtime 0 -name “ruitang”
查看72小时内被修改的文件：find / -mtime -2
find：在指定目录下查找文件
-type b/d/c/p/l/f 查是块设备，目录，字符设备，管道，符号，连接，普通文件
-mtime -n +n 按文件更改时间来查找文件， -nzhi