Linux 学习总结(86)—— 如何排查服务器是否被入侵

Posted 科技D人生

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 学习总结(86)—— 如何排查服务器是否被入侵相关的知识,希望对你有一定的参考价值。

一、入侵者可能会删除机器的日志信息

可以查看日志信息是否还存在或者是否被清空,相关命令示例:

二、入侵者可能创建一个新的存放用户名及密码文件

可以查看 /etc/passwd 及 /etc/shadow 文件,相关命令示例:

三、入侵者可能修改用户名及密码文件

可以查看 /etc/passwd 及 /etc/shadow 文件内容进行鉴别,相关命令示例:

四、查看机器最近成功登陆的事件和最后一次不成功的登陆事

对应日志 “/var/log/lastlog”,相关命令示例:

五、查看机器当前登录的全部用户

对应日志文件 “/var/run/ut

以上是关于Linux 学习总结(86)—— 如何排查服务器是否被入侵的主要内容,如果未能解决你的问题,请参考以下文章

Linux系统及应用问题分析排查工具

Linux常用命令总结

Linux---记录一次线上服务 CPU 100%的排查过程

Linux排查日志总结

Windows系统入侵排查与应急响应技术

Linux服务器中高负载现象故障排查 linux技术学习