1.使用“w”命令查看当前已建立的SSH连接
若发现有异常登录,可通过“fuser -k /dev/pts/0”断开当前已建立的连接。
2.使用“last”查看以前登录过的用户,可以看到登录用户的IP、登录时间、登录时长。
登录历史包含在〜/ .bash_history的文本文件中,因此可以轻松移除。 通常,攻击者会简单地删除这个文件来试图掩盖他们的踪迹。 因此,如果你运行命令后,只能看到你当前的登录,这是不好个不好的迹象。
如果没有登录记录是非常非常可疑,要继续寻找被破坏的迹象。
3.查看历史命令
在没被删除历史记录的情况下,运行历史命令可以看到用户的所有操作,注意wget或curl命令下载垃圾邮件机器人或加密旷工之类的回购软件。
命令历史记录包含在〜/ .bash_history文件中,所以一些攻击者会删除这个文件来覆盖他们所做的事情。 就像登录历史记录一样,如果你运行历史记录并没有看到任何内容,那么历史文件已被删除。 再次,这是一个不好的迹象,你应该仔细检查服务器。
4.用top命令检查CPU占用情况
这也会显示人们在未登录的情况下利用您的服务器。例如,这可能是某人使用不受保护的表单邮件脚本来转发垃圾邮件。 如果你不认识某个进程,谷歌它的名字,或者调查一下它正在做的事情用“losf” 或者 “strace”,
拷贝top命令下的PID,运行下面的命令:
这将显示进程正在进行的所有系统调用。 有很多的信息,但通过它看将会给你一个好的思路是去探索怎么回事。
这将列出该进程已打开的文件。 通过向您显示它正在访问哪些文件,可以让您知道它在做什么。
5.检查所有进程,命令“ps auxf”,如果进程不认识的话进程运行该命令来熟悉它
6.查看哪些进程正在监听网络连接
通常,攻击者会安装一些程序不去做任务事情,只是为了监听网络端口,这不占用CPU和网络带宽,因此常常被忽略,可以使用“lsof” 和 “netstat”命令查看网络运行的网络进程。
