常用操作

查看最近登陆

sudo tail /var/log/auth.log -n 200

如果看到很多登录失败,那可能是正在被暴力破解登录密码。一般校内的服务器不太会被远程破解(因为在内网),如果出现这个情况要注意是不是开了内网穿透服务。

如果已经找到木马的目录,可以用stat FILENAME 来查看创建时间,然后用时间戳来过滤登录信息就可以知道是谁密码泄露了:

sudo tail /var/log/auth.log | grep 12:34

查看进程信息

sudo ls -l /proc/PID/  # 查看进程目录
sudo cat /proc/PID/cmdline
ps -o ppid= -p PID  # 查看父进程号

Previous木马的防范和查杀Next木马防范

Last updated