1. 入侵者可能會(huì )刪除機器的日志信息

可以查看日志信息是否還存在或者是否被清空，相關(guān)命令示例：

2. 入侵者可能創(chuàng )建一個(gè)新的存放用戶(hù)名及密碼文件

可以查看/etc/passwd及/etc/shadow文件，相關(guān)命令示例：

3. 入侵者可能修改用戶(hù)名及密碼文件

可以查看/etc/passwd及/etc/shadow文件內容進(jìn)行鑒別，相關(guān)命令示例：

4. 查看機器最近成功登陸的事件和最后一次不成功的登陸事

對應日志“/var/log/lastlog”，相關(guān)命令示例：

5. 查看機器當前登錄的全部用戶(hù)

對應日志文件“/var/run/utmp”，相關(guān)命令示例：

6. 查看機器創(chuàng )建以來(lái)登陸過(guò)的用戶(hù)

對應日志文件“/var/log/wtmp”，相關(guān)命令示例：

7. 查看機器所有用戶(hù)的連接時(shí)間（小時(shí)）

對應日志文件“/var/log/wtmp”，相關(guān)命令示例：

8. 如果發(fā)現機器產(chǎn)生了異常流量

可以使用命令“tcpdump”抓取網(wǎng)絡(luò )包查看流量情況或者使用工具”iperf”查看流量情況。

9. 可以查看/var/log/secure日志文件

嘗試發(fā)現入侵者的信息，相關(guān)命令示例：

10. 查詢(xún)異常進(jìn)程所對應的執行腳本文件

a.top命令查看異常進(jìn)程對應的PID

b.在虛擬文件系統目錄查找該進(jìn)程的可執行文件

11. 如果確認機器已被入侵，重要文件已被刪除，可以嘗試找回被刪除的文件

a. 查看/var/log/secure文件，發(fā)現已經(jīng)沒(méi)有該文件

b. 使用lsof命令查看當前是否有進(jìn)程打開(kāi)/var/log/secure，

c. 從上面的信息可以看到 PID 1264（rsyslogd）打開(kāi)文件的文件描述符為4。同時(shí)還可以看到/var/log/ secure已經(jīng)標記為被刪除了。因此我們可以在/proc/1264/fd/4（fd下的每個(gè)以數字命名的文件表示進(jìn)程對應的文件描述符）中查看相應的信息，如下：