1.異常進(jìn)程

可以用top命令查看是否有占用CPU較高的進(jìn)程，下面截圖的進(jìn)程異常，并且占用較高CPU

2.linux系統(tǒng)中出現(xiàn)類似Windows的目錄或可執(zhí)行文件

如果判斷不是用戶自己上傳的，很有可能系統(tǒng)被黑或數(shù)據(jù)庫被黑

3.檢查定時(shí)任務(wù)crontab

可以使用crontab -l檢查定時(shí)任務(wù)是否異常，比如 1 20 * /bin/rm -rf /home/wwwroot計(jì)劃執(zhí)行刪除wwwroot目錄，可能存在異常。

查看定時(shí)任務(wù)

[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot

4.檢查/etc/init.d/目錄

檢查這個(gè)目錄是否有異常文件，或者一些奇怪的文件擁有x可執(zhí)行權(quán)限。ll -t按照時(shí)間排序，最近添加的、一些不認(rèn)識的服務(wù)，打開查看執(zhí)行內(nèi)容分析。

5.檢查/etc/rc.local

vi /etc/rc.local 是否有加載異常啟動。如果有都需核實(shí)是否正常。

6.檢查/etc/passwd

vi /etc/passwd 是否有異常賬戶，第三個(gè)參數(shù):500以上就是后面建的賬戶，其它則為系統(tǒng)的用戶.

使用常用命令檢查

1. history:查看歷史命令
2. crontab -l:查看定時(shí)任務(wù)
3. cat /etc/passwd:查看已經(jīng)創(chuàng)建的用戶
4.cat /etc/group:查看組
5.who:當(dāng)前在線用戶
6.who /var/log/wtmp:最近登錄情況
7.screen -ls:列出所有session

linux安全建議

1. 不要安裝來歷不明的一鍵腳本。
2. 盡量避免直接使用root用戶。
3. 使用較為復(fù)雜的密碼或者使用密鑰登錄。
4. 修改SSH默認(rèn)端口。
5. 關(guān)閉數(shù)據(jù)庫遠(yuǎn)程連接。

linux安全運(yùn)維總結(jié)

1. 檢查/etc/init.d/目錄是否有異常文件或權(quán)限異常。
2. crontab -l檢查是否有異常的定時(shí)任務(wù)。
3. top查看是否有異常進(jìn)程。
4. who /var/log/wtmp查看最近幾次登錄是否有異常IP。
5. linux pid進(jìn)程PID值0-299為系統(tǒng)進(jìn)程。