whois 命令可以接一個(gè) IP 地址然后告訴你該 IP 所注冊的組織的所有信息，當(dāng)然就包括所在國家的信息。

    檢查 2 – 誰曾經(jīng)登錄過？

    Linux 服務(wù)器會記錄下哪些用戶，從哪個(gè) IP，在什么時(shí)候登錄的以及登錄了多長時(shí)間這些信息。使用 last 命令可以查看這些信息。

    輸出類似這樣：

    root     pts/1        78.31.109.1      Thu Nov 30 08：26   still logged in

    root     pts/0        113.174.161.1    Thu Nov 30 08：26   still logged in

    root     pts/1        78.31.109.1      Thu Nov 30 08：24 - 08：26  (00：01)

    root     pts/0        113.174.161.1    Wed Nov 29 12：34 - 12：52  (00：18)

    root     pts/0        14.176.196.1     Mon Nov 27 13：32 - 13：53  (00：21)

    這里可以看到英國 IP 和越南 IP 交替出現(xiàn)，而且最上面兩個(gè) IP 現(xiàn)在還處于登錄狀態(tài)。如果你看到任何未經(jīng)授權(quán)的 IP，那么請參閱最后章節(jié)。

    登錄后的歷史記錄會記錄到二進(jìn)制的 /var/log/wtmp 文件中（LCTT 譯注：這里作者應(yīng)該寫錯(cuò)了，根據(jù)實(shí)際情況修改），因此很容易被刪除。通常攻擊者會直接把這個(gè)文件刪掉，以掩蓋他們的攻擊行為。 因此, 若你運(yùn)行了 last 命令卻只看得見你的當(dāng)前登錄，那么這就是個(gè)不妙的信號。

    如果沒有登錄歷史的話，請一定小心，繼續(xù)留意入侵的其他線索。

    檢查 3 – 回顧命令歷史

    這個(gè)層次的攻擊者通常不會注意掩蓋命令的歷史記錄，因此運(yùn)行 history 命令會顯示出他們曾經(jīng)做過的所有事情。 一定留意有沒有用 wget 或 curl 命令來下載類似垃圾郵件機(jī)器人或者挖礦程序之類的非常規(guī)軟件。

    命令歷史存儲在 ~/.bash_history 文件中，因此有些攻擊者會刪除該文件以掩蓋他們的所作所為。跟登錄歷史一樣，若你運(yùn)行 history 命令卻沒有輸出任何東西那就表示歷史文件被刪掉了。這也是個(gè)不妙的信號，你需要很小心地檢查一下服務(wù)器了。（LCTT 譯注，如果沒有命令歷史，也有可能是你的配置錯(cuò)誤。）

    檢查 4 – 哪些進(jìn)程在消耗 CPU？

    你常遇到的這類攻擊者通常不怎么會去掩蓋他們做的事情。他們會運(yùn)行一些特別消耗 CPU 的進(jìn)程。這就很容易發(fā)現(xiàn)這些進(jìn)程了。只需要運(yùn)行 top 然后看最前的那幾個(gè)進(jìn)程就行了。

    這也能顯示出那些未登錄進(jìn)來的攻擊者。比如，可能有人在用未受保護(hù)的郵件腳本來發(fā)送垃圾郵件。

    如果你最上面的進(jìn)程對不了解，那么你可以 Google 一下進(jìn)程名稱，或者通過 losf 和 strace 來看看它做的事情是什么。

    使用這些工具，第一步從 top 中拷貝出進(jìn)程的 PID，然后運(yùn)行：

    strace -p PID

    這會顯示出該進(jìn)程調(diào)用的所有系統(tǒng)調(diào)用。它產(chǎn)生的內(nèi)容會很多，但這些信息能告訴你這個(gè)進(jìn)程在做什么。

    lsof  -p PID

    這個(gè)程序會列出該進(jìn)程打開的文件。通過查看它訪問的文件可以很好的理解它在做的事情。

    檢查 5 – 檢查所有的系統(tǒng)進(jìn)程

    消耗 CPU 不嚴(yán)重的未授權(quán)進(jìn)程可能不會在 top 中顯露出來，不過它依然可以通過 ps 列出來。命令 ps auxf 就能顯示足夠清晰的信息了。

    你需要檢查一下每個(gè)不認(rèn)識的進(jìn)程。經(jīng)常運(yùn)行 ps （這是個(gè)好習(xí)慣）能幫助你發(fā)現(xiàn)奇怪的進(jìn)程。