Linux
1.查看CPU
top
按C,以CPU占用率进行排序,查看是否有可疑进程
2.进程相关
2.1查看异常PID文件路径
ls -al /proc/pid号
2.2查看隐藏进程
ps -ef | awk '{print}' | sort -n | uniq > 1
ls /proc | sort -n | uniq > 2
3.启动项相关
3.1查看启动项
cat /etc/rc.local
3.2查看启动项配置文件
ls -alt /etc/init.d
3.3查看计划任务
crontab -l
4.分析网络行为
查看异常进程外联端口情况,在情报社区进行查询IP
netstat -anlp
5.分析用户登陆情况
last
6.分析当前登陆用户情况
who
7.分析用户信息
awk -F:'{if($3==0)print $1}' /etc/passwd
8.分析服务
chkconfig --list
9.分析文件
9.1查看近10次变动文件
ls -alt | head -n 10
9.2查看tmp目录下是否有可疑文件
ls -al /tmp/
此处评论已关闭