1、用root用戶登錄,然後 w 命令列出最近登錄的用戶
#passwd -l nobody(這個爲可疑用戶登錄名)
查看是否現在依然登錄
#ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
#刪除進程
# kill -9 6051
2、通過last命令查看用戶登錄事件
#last 命令的輸出結果來源於/var/log/wtmp文件
3、查看系統日誌
/var/log/messages、/var/log/secure
每個用戶目錄下的.bash_history文件
特別是/root目錄下的.bash_history文件。
4、檢查並關閉系統可疑進程
ps、top檢查可疑進程
使用pidof命令查看運行進程的Pid pidof sshd 13276 12942 4284進入
然後進入內存目錄,查看對應PID目錄下exe文件的信息 ls -al /proc/13276/exe 然後可以看到該進程對應的完整執行路徑。
查看文件句柄。
5、查看文件是否被改動
對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成
殺進程:kill
法一、 ps -ef | grep httpd kill -9 PID
法二 、 killall httpd