登陸系統查詢可以使用者

w命令可以顯示線上使用者，passwd -l xxx可以鎖定xxx使用者無法登陸，如果此時可以使用者線上，使用kill命令踢下線

檢視可疑程序

ps -ef命令鎖定pid，或者pidof根據程序名查詢， 進入記憶體目錄檢視相應程序的完整資訊

[[email protected]_250_17_centos proc]# pidof nginx
32757 29527 29526 29525 29524 29523 29522 29521 29520
[[email protected]_250_17_centos proc]# pwd
/proc
[[email protected]
 
_250_17_centos proc]# ll -a 29525/exe
lrwxrwxrwx 1 nginx nginx 0 Feb 24 10:52 29525/exe -> /usr/local/nginx/sbin/nginx

rootkit後門檢查工具RKHunter

ootkit是Linux平臺下最常見的一種木馬後門工具，它主要通過替換系統檔案來達到入侵和和隱蔽的目的，這種木馬比普通木馬後門更加危險和隱蔽，普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強，對系統的危害很大，它通過一套工具來建立後門和隱藏行跡，從而讓攻擊者保住許可權，以使它在任何時候都可以使用root 許可權登入到系統。

安裝使用

./installer.sh --install #安裝，預設目錄 /usr/local/bin/rkhunter

rkhunter -c #使用
#檢測時正常會用綠色顯示，warning會用紅色顯示，需要引起注意

iftop監測網路

iftop -P顯示程序名稱

nmap系統偵測

用於掃描開放埠和偵測系統版本
nmap 主機ip掃描埠
nmap -sV偵測系統版本