注意点
在查看文件内容时要使用cat -A 命令
命令替换
首先看要使用的命令ps和top等是否被替换,可以使用rpm、stat 等命令来检查。如果出现了被替换的情况,可以从其他机器将命令拷贝,并使用绝对路径进行执行和修复原来的命令。
查看登录日志
看 /var/log/secure 文件中的日志,限制ssh登录IP,并备份清理/root/.ssh/authorized_keys
查看用户
使用 cat /etc/passwd 查看是否有新增用户,并使用 usermod -L 锁定
查看定时任务
首先查看定时任务日志 /var/log/cron,看是否有定时任务在跑。
然后看是否有定时任务配置 /var/spool/cron/ 、/etc/crontab、/etc/cron.d/、/etc/cron.*
特殊文件
/etc/ld.so.preload
参考文章:
一次服务器被入侵的处理过程分享