文章插图
注意：无密码/只允许本机登陆 ， 远程不允许登陆主要关注/bin/bash或/bin/sh的用户 ， 注意是否存在异常账号（需要和客户沟通）
2. 查看影子文件/etc/
字段按顺序解释：用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留
【挖矿入侵Linux系统排查步骤】3. 检查特权用户命令：awk -F: '$3==0{print $1}' /etc/可以用此命令筛选出所有的特权用户
4. 检查以远程登录的账号命令：awk '/$1|$6/{print $1}' /etc/可以快速筛选出远程账号
5. 排查ssh密钥文件 ， 命令： ls -al ~/.ssh与客户确定是否存在异常的密钥文件
七、计划任务排查
1. 排查 ，  -l 列出某个用户cron服务的详细内容 ，  会泄露恶意文件的相关信息
注意：
默认编写的文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root）每个账号下都有属于自己的计划任务 ， 因此需要排查所有用户的计划任务 ， 切勿遗漏
2. 排查文件列表
/var/spool/cron/*
/etc/
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron./*
/etc/cron./*
/etc/cron./
/etc/
/var/spool//*
八、开机启动项排查
linux启动顺序中决定程序启动项的在init这里 ， 分为两大步骤：按级别加载/etc/rc(0-6).d目录下的启动脚本；加载/etc/rc.local文件；因此需要排查启动项文件排查是否存在恶意脚本 。
1.开机启动配置文件/etc/rc.local ， 需要查看/etc/rc.local是否存在恶意执行启动项
需要查看/etc/rc[0-6].d下是否存在恶意文件脚本 ， 主要关注rc3、rc4和rc5
2.启动项级别解释
主要关注3～5 ， 命令如下： –list
九、日志审计
1. 日志默认存放位置:/var/log/
2. 查看日志配置情况:more /etc/.conf
3. 系统日志文件说明
日志文件
说明
/var/log/cron
记录了系统定时任务相关的日志
/var/log/cups
记录打印信息的日志
/var/log/dmesg
记录了系统在开机时内核自检的信息 ， 也可以使用dmesg命令直接查看内核自检信息
/var/log/

文章插图
记录邮件信息
/var/log/
记录系统重要信息的日志 。这个日志文件中会记录Linux系统的绝大多数重要信息 ， 如果系统出现 问题时 ， 首先要检查的就应该是这个日志文件
/var/log/btmp
记录错误登录日志 ， 这个文件是二进制文件 ， 不能直接vi查看 ， 而要使用lastb命令查看
/var/log/
记录系统中所有用户最后一次登录时间的日志 ， 这个文件是二进制文件 ， 不能直接vi ， 而要使用 命令查看
/var/log/wtmp
永久记录所有用户的登录、注销信息 ， 同时记录系统的启动、重启、关机事件 。同样这个文件也是 一个二进制文件 ， 不能直接vi ， 而需要使用last命令来查看
/var/log/utmp
记录当前已经登录的用户信息 ， 这个文件会随着用户的登录和注销不断变化 ， 只记录当前登录用户 的信息 。同样这个文件不能直接vi ， 而要使用w,who,users等命令来查询
/var/log/
录验证和授权方面的信息 ， 只要涉及账号和密码的程序都会记录 ， 比如SSH登录 ， su切换用户 ，  sudo授权 ， 甚至添加用户和修改用户密码都会记录在这个日志文件中

• 区块链内容分享挖矿系统：新型社交化数字营销平台
• Linux 高频使用命令
• linux 文件保护-使用chattr +i保护
• 【Linux】Ubuntu20.04版本安装谷歌中文输入法【教程】
• 谷歌输入法 kali Linux安装中文输入法
• 区块链是怎样挖矿的？
• Linux dts知识
• 伪分布式 CentOS 7部署Hadoop
• 通过easyBCD将linux的启动菜单加入到Windows 的启动菜单
• 【Linux】ssh: connect to host localhost po