檢查當前登錄用戶
輸入w或者who,就可以看到當前只有一個用戶登錄,正常情況下只有你一個人登錄,如果不是一個最好排查下。
檢查網(wǎng)絡連接
netstat -anp命令查看當前網(wǎng)絡連接,如果沒有netstat,就安裝一下sudo apt install net-tools再查看
檢查22,445,3389,6379等常見端口是否異常連接,檢查connect連接的地址是否為國外或者云廠商的ip,可以在微步或者其它的情報平臺,查詢該ip的信息
檢查進程
ps -ef 檢查進程,是否有異常,遇到不懂的進程可以上網(wǎng)查一下,從netstat中無法判斷的連接也可以通過進程id查看相應進程信息ps -ef|grep id,定位相關文件,分析文件是否有惡意行為,或者之間上傳virustotal等在線檢測平臺檢查文件是否有害。
檢查歷史命令
.bash_history記錄了輸入過的命令,可以檢查是否有不是自己輸入的命令
檢查賬號信息
/etc/passwd查看賬號信息
檢查定時任務
crontab -l
檢查登錄日志
執(zhí)行l(wèi)ast或者lastlog查看用戶最近登錄日志
查看ssh登錄日志,是否有大量的登錄失敗信息
? 版權聲明
文章版權歸作者所有,未經(jīng)允許請勿轉載。
THE END
