A.システムログをチェックしてください
lastbコマンドは、システム・エラー・ログの着陸を確認し、統計IPの再試行
II。システムユーザを確認します
異常なシステムユーザがあるかどうかを確認するには1、猫/ etc / passwdファイル
新しいユーザー、UIDとGIDが0のユーザーであるかどうかを確認するために2、grepを "0" / etc / passwdファイルのチェック
3、LS -l / etc / passwdファイルpasswdの変性、それを知らずにユーザーを追加するか否かが判断される参照
図4に示すように、特権ユーザのAWKの-Fがあるかどうかを確認する:空のパスワードアカウントのAWKの-Fがあるかどうかを確認するためには、/ etc / passwd5 '$ 3 = = 0 {$ 1印刷}' 'の長さ($ 2)= = 0 {$ 1印刷}' /など/影
III。異常なプロセスをチェック
1、UIDは、プロセス0とプロセスを表示するために、ps -efコマンドを使用することに注意してください
2、表示する-p PIDコマンドlsofのポートと、ファイルを開いたプロセスを見て
AWK '{印刷}' | |ソート-n | UNIQ> 1LS / PORC |ソート-n | UNIQ> 2diff 1 2 3は、隠されたプロセスのPS -efをチェック
IV。ファイルシステムの異常をチェック
/ -uid 0 -perm -4000 -printfind / -size + 10000K -printfind / -nameを見つける「...」-printfind / -name「.. 『-printfind / -name』。「-printfind / -name「「-print
システムファイルの整合性をチェックするV.
回転数-qf / binに/ lsrpm -qf / binに/ loginmd5sum -bファイル名のmd5sum -tファイル名
VI。整合性rpmをチェック
/ sbinに、/ bin関連のrpm -Va#(注)、は/ usr / sbinには/ usr / binに
VII。ネットワークを確認してください
IPリンク| grepをPROMISC(NICがpromisc無差別通常モードであってはならない、スニファがあるかもしれない)のlsof -inetstat -nap(一見通常のTCP / UDPポート開いていない)のarp -a
VIII。システムスケジュールされたタスクを確認してください
crontab -uルート-lcatの/ etc / crontabls /etc/cron.*
IX。システムにバックドアをチェック
猫の/ etc / crontablsに/ var / spool / cron /猫/etc/rc.d/rc.localls /etc/rc.dls /etc/rc3.dディレクトリ
X.検査システムサービス
chkconfigを-listrpcinfo -p(RPCサービスを参照してください)
XI。ルートキットをチェック
rkhunterの-cchkrootkit -q