1. 침입자가 시스템의 로그 정보를 삭제할 수 있습니다. 로그 정보가 여전히 존재하는지 확인할 수 있습니다.
명령: ll -h /var/log/*
뒤 -sh /var/log/*
2. 침입은 또한 사용자 이름과 암호를 저장할 새 파일을 생성합니다. /etc/passed 및 /etc/shadow 파일을 볼 수 있습니다.
명령: ll /etc/pass*
ll /etc/sha*
3. 사용자 이름 및 암호 파일도 수정할 수 있습니다. 식별을 위해 /etc/passwd 및 /etc/shadow 파일의 내용을 확인할 수 있습니다.
명령: more /etc/passwd
더 많은 /etc/shadow
4. 머신의 최근 로그인 성공 이벤트와 마지막 로그인 실패 로그인 이벤트 보기: (해당 로그 /var/log/lastlog)
명령: lastlog
5. 현재 로그인한 모든 사용자 보기: (해당 로그 파일 /var/run/utmp)
명령: 누구
6. 로그인한 사용자: (해당 로그 파일 /var/log/wtmp)
명령: 마지막
7. 기계 연결 시간: (해당 로그 파일 /var/log/wtmp)
명령: ac -dp
8. /var/log/secure 로그 파일을 확인하고 침입자의 정보를 찾으십시오.
命令:cat /var/log/secure | grep -i "허용된 암호"
9. 비정상 프로세스 트리
먼저 top 명령을 사용하여 비정상 프로세스에 해당하는 PID를 봅니다.
명령: 상단
그런 다음 가상 파일 시스템 디렉토리를 통해 프로세스의 실행 파일을 찾으십시오.
예: ll /proc/PID/ | grep -i exe
그런 다음 파일 보기 명령을 사용하여 의심스러운 파일을 봅니다.
명령: ll