linux系统中毒排查学习记录

linux有许多的版本，主要关注redhat(centos)和ubuntu这两个主流版本

以下命令基本都需要root权限，执行命令前记得加sudo

第一步

top，ps命令查看系统资源和负载情况，查看是否有异常的程序，kill命令杀掉异常程序或高负载程序

第二步

查看/etc/passwd是否有异常或隐藏用户，usermod -L xxx禁用该用户

第三步

查看开机启动日志

一般在此目录下/etc/rsyslog.conf，里面包含了其他各种配置文件的位置，只要找到该文件的位置，其他文件的位置就基本知道了一般都在/var/log

如果没有/etc/rsyslog.conf，可以到/etc/rsyslog.d文件下找找，把异常程序都给注释掉或者删除掉

1. >/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该文件获得相关的事件记录信息。
2. >/var/log/cron：记录crond计划任务产生的事件消息。
3. >/varlog/dmesg：记录Linux系统在引导过程中的各种事件信息。
4. >/var/log/maillog：记录进入或发出系统的电子邮件活动。
5. >/var/log/lastlog：最近几次成功登录事件和最后一次不成功登录事件。
6. >/var/log/rpmpkgs：记录系统中安装各rpm包列表信息。
7. >/var/log/secure：记录用户登录认证过程中的事件信息。有可能是 /var/log/auth.log
8. >/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。
9. >/var/log/utmp：记录当前登录的每个用户的详细信息

以上文件的位置不一定准确，要根据找到的rsyslog文件指定的位置去找

lastlog,wtmp,utmp,是二进制文件不可以直接查看，使用命令last或lastlog，w，users，who等命令查看

第四步

查看cron定时任务

cat /etc/crontab或者查看其他的/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly

查看是否有异常的程序，注释掉或者删除掉