不管电脑用户使用的是什么系统,肯定都不想电脑系统被病毒之类非法入侵吧,在Linux系统也是如此,那么Linux系统中怎么查看是否有被入侵呢?下面豆豆整理了几种查看系统是否被入侵的方法。
Linux系统被入侵几种查看方法
1.检查进程
复制代码代码如下:
# ps -aux(注意UID是0的)
# lsof -p pid(察看该进程所打开端口和文件)
# cat /etc/inetd.conf | grep -v “^#”(检查守护进程)
检查隐藏进程
# ps -ef|awk ‘{print }’|sort -n|uniq >1
# ls /porc |sort -n|uniq >2
# diff 1 2
2. 检查日志
复制代码代码如下:
# last
(查看正常情况下登录到本机的所有用户的历史记录)
注意”entered promiscuous mode”
注意错误信息
注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
3. 检查帐户
复制代码代码如下:
# less /etc/passwd
# grep :0: /