排查方法
1:查看登陆账号信息 last -a ,是否陌生账号和IP信息
who last -a
2:查看/etc/passwd 文件内容多个0权限ID和异常ID
passwd -0 id
3:查看 cat /var/log/secure | more | grep "authentication failure" 失败信息和 last -a 信息对比
secure
4: netstat -antp 是否不常用端口和进程ID/连接数
netstat -antp
5: 查看/var/log/日志是否被清除,消失。
6: 查找/根目录下最近修改文件 find / -mtime -1 -type f -exec ls -l {} ; 【执行命令/临时目录/等】
find
7:查抓定时任务启动项应用程序配置文件(修改 md5变化)
rc.local