Windows
日志查看
windows 直接查看事件查看器 Win+R 输入 eventvwr.msc
linux 日志路径在
/var/log/ 下
last -f /var/log/wtmp # 查看可以 IP 登陆
cat /var/log/sercure # 系统登陆日志及 IP
历史命令
windows
获取 powershell 历史命令存储文件路径
(Get-PSReadlineOption).HistorySavePath
获取后 cat 查看即可 / 命令较多,您可在记事本中打开 txt 文件进行分析。
linux
cat .bash_history # 查看历史执行脚本
1、检查系统密码文件
首先从明显的入手,查看一下 passwd 文件, Is - I /etc/passwd 查看文件修改的日期。
检查一下 passwd 文件中有哪些特权用户,系统中 uid 为 0 的用户都会被显示出来。
顺便再检查一下系统里有没有空口令帐户:
2、查看一下进程,看看有没有奇怪的进程
重点查看进程:
ps - aef | grep inetd
inetd 是 UNIX 系统的守护进程,正常的 inetd 的 pid 都比较靠前,如果你看到输出了一个类
似 inetd - s /tmp/.xxx 之类的进程,着重看 inetd - s 后面的内容。在正常情况下, LINUX 系
统中的 inetd 服务后面是没有 -s 参数的,当然也没有用 inetd 去启动某个文件;而 soIaris 系 统中也
仅仅是 inetd - s, 同样没有用 inetd 去启动某个特定的文件;如果你使用 ps 命令看
到 inetd 启动了某个文件,而你自己又没有用 inetd 启动这个文件,那就说明已经有人入侵 了你的系
统,并且以 root 权限起了一个简单的后门。
输入 ps - aef 查看输出信息,尤其注意有没有以 ./xxx 开头的进程。一旦发现异样的进程,
经检查为入侵者留下的后门程序,立即运行 kill - 9 pid 开杀死该进程,然后再运行 ps -
aef 查看该进程是否被杀死;一旦此类进程出现杀死以后又重新启动的现象,则证明系统被 人放置了自
动启动程序的脚本。这个时候要进行仔细查找: find /-name 程序名 - print, 假