检查网络的目的,是查看黑客是否通过篡改网卡类型,进行流量嗅探等操作。
ip link | grep PROMISC 正常网卡不应该存在promisc,如果存在可能有sniffer
lsof -i
netstat -nap 查看不正常端口
arp -a 查看arp记录是否正常
ifconfig -a 查看网卡设置
检查计划任务
当我们尝试kill恶意程序时,往往会遇到被kill程序自动启动的问题,那么就要检查下计划任务(cron)了。
crontab -u root -l 查看root用户的计划任务
cat /etc/crontab
ls -l /etc/cron.* 查看cron文件是否变化的详细信息
ls /var/spool/cron/
检查系统后门
可以使用工具,如:Conmodo、rkhunter等,当然也可以手工输入命令检查。
vim $HOME/.ssh/authorized_keys 查看ssh永久链接文件
lsmod 检查内核模块
chkconfig –list/systemctl list-units –type=service 检查自启
查看著名的木门后门程序:
ls /etc/rc.d #系统开机后,此目录下的文件会被启动
ls /etc/rc3.d
find / -name “.rhosts” –print
find / -name “.forward” –print
检查网站后门