有以下几个重点检查项目:
• 检查系统日志,看是否有异常的登录记录或错误登录尝试。您可以使用 last 命令查看系统登录日志,或者查看 /var/log/secure 文件。
• 检查系统用户,看是否有不明的用户或者特权用户。您可以使用 cat /etc/passwd 和 cat /etc/shadow 命令查看用户列表,或者使用 awk -F: '$3==0 {print $1}' /etc/passwd 命令查看 UID 为 0 的用户,或者使用 awk -F: 'length ($2)==0 {print $1}' /etc/shadow 命令查看空口令账户。
• 检查系统进程,看是否有异常的进程或者隐藏进程。您可以使用 ps -ef 命令查看进程列表,或者使用 ps -ef | awk ' {print }' | sort -n | uniq >1 和 ls /porc |sort -n |uniq >2 命令,然后使用 diff 1 2 命令查看隐藏进程。
• 检查系统文件,看是否有异常的文件或者被修改的文件。您可以使用 find / -uid 0 –perm -4000 –print 命令查看特殊权限的文件,或者使用 find / -size +10000k –print 命令查看大文件,或者使用 find / -name "..." –print 命令查看不明文件,或者使用 rpm -Va 命令查看 RPM 的完整性。
• 检查系统网络,看是否有异常的连接或者流量。您可以使用 ip link | grep PROMISC 命令查看网卡是否在混杂模式,或者使用 lsof –i 或 netstat –nap 命令查看打开的端口和连接,或者使用 arp –a 命令查看 ARP 表,或者使用 tcpdump 或 iperf 工具抓取和分析网络流量。
• 检查系统计划任务,看是否有异常的任务或者后门。您可以使用 crontab –u root –l 命令查看 root 用户的计划任务,或者使用 cat /etc/crontab 命令查看系统的计划任务,或者使用 ls /etc/cron.* 命令查看其他的计划任务,或者使用 cat /etc/rc.d/rc.local 命令查看系统启动时执行的脚本,或者使用 ls /etc/rc.d 和 ls /etc/rc3.d 命令查看系统启动时加载的服务。
• 检查系统服务,看是否有异常的服务或者 RPC 服务。您可以使用 chkconfig —list 命令查看系统服务,或者使用 rpcinfo -p 命令查看 RPC 服务。
• 检查系统 rootkit,看是否有异常的内核模块或者程序。您可以使用 rkhunter -c 或 chkrootkit -q 工具检测系统 rootkit。