zip -r test.zip ./* #将当前目录下的所有文件和文件夹全部压缩成test.zip文件,-r表示递归压缩子目录下所有文件
unzip -n test.zip -d /tmp #将压缩文件text.zip在指定目录/tmp下解压,如果已有相同的文件存在,要求unzip命令不覆盖原先的文件。
其它详见
腾讯云 Linux 入侵类问题排查思路 https://cloud.tencent.com/document/product/296/9604
一、检查隐藏帐户及弱口令
- 检查服务器系统及应用帐户是否存在 弱口令
- 使用
last命令查看服务器近期登录的帐户记录,确认是否有可疑 IP 登录过机器
1.命令last 显示用户或终端登录情况
2.命令:last -R 显示用户或终端登录情况,同时省略hostname的栏位
3.命令:last usename 如命令:last root,展示root用户的登入讯息
4.命令:last tty 限制登入讯息包含的终端代号
3.通过
less /var/log/secure|grep 'Accepted'命令,查看是否有可疑 IP 成功登录机器 4.检查系统是否采用 默认管理端口
5.检查
/etc/passwd文件,看是否有非授权帐户登录二、检查恶意进程及非法端口
- 运行
netstat –antp,查看服务器是否有未被授权的端口被监听,查看下对应的 pid。 - 使用
ps -ef和top命令查看是否有异常进程
运行
netstat -antp 查看服务器是否有未被授权的端口被监听netstat -antp 查看端口命令,kill关闭进程
netstat -antp #查看系统的所有端口
netstat -antp | grep smb #查找包含smb端口
netstat -antp | grep http #查找包含http端口
netstat -antp | grep 80 #关闭 使用80端口的服务
更多 Netstat 命令详解
三、检查恶意程序和可疑启动项
- 使用
chkconfig --list和cat /etc/rc.local命令,查看开机启动项中是否有异常的启动服务。 - 进入 cron 文件目录,查看是否存在非法定时任务脚本。
- 检查说明:查看
/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序