服务器遭受攻击后的处理流程

服务器遭受攻击后的处理流程

安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。下面是我整理的服务器遭受攻击后的处理流程：

一、处理服务器遭受攻击的一般思路

系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。

1 切断网络

所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

2 查找攻击源

可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。

3 分析入侵原因和途径

既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

4 备份用户数据

在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

5 重新安装系统

永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

6 修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

7 恢复数据和连接网络

将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。

二、检查并锁定可疑用户

当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

1 登录系统查看可疑用户

通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，如图1-11所示。

通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

2 锁定可疑用户

一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下 *** 作：

[root@server ~]# passwd -l nobody

锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值， *** 作如下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051

这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。

3 通过last命令查看用户登录事件

last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。

三、查看系统日志

查看系统日志是查找攻击源最好的方法，可查的'系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的bash_history文件，特别是/root目录下的bash_history文件，这个文件中记录着用户执行的所有历史命令。

四、检查并关闭系统可疑进程

检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：

首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：

[root@server ~]# pidof sshd

13276 12942 4284

然后进入内存目录，查看对应PID目录下exe文件的信息：

[root@server ~]# ls -al /proc/13276/exe

lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd

这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：

[root@server ~]# ls -al /proc/13276/fd

通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：

[root@server ~]# fuser -n tcp 111

111/tcp: 1579

[root@server ~]# fuser -n tcp 25

25/tcp: 2037

[root@server ~]# ps -ef|grep 2037

root 2037 1 0 Sep23 00:00:05 /usr/libexec/postfix/master

postfix 2046 2037 0 Sep23 00:00:01 qmgr -l -t fifo -u

postfix 9612 2037 0 20:34 00:00:00 pickup -l -t fifo -u

root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037

在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。

五、检查文件系统的完好性

检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证， *** 作如下：

[root@server ~]# rpm -Va

L c /etc/pamd/system-auth

S5 c /etc/security/limitsconf

S5T c /etc/sysctlconf

S5T /etc/sgml/docbook-simplecat

S5T c /etc/logindefs

S5 c /etc/openldap/ldapconf

S5T c /etc/sudoers

5T c /usr/lib64/security/classpathsecurity

L c /etc/pamd/system-auth

S5 c /etc/security/limitsconf

S5 c /etc/ldapconf

S5T c /etc/ssh/sshd_config

对于输出中每个标记的含义介绍如下：

S 表示文件长度发生了变化

M 表示文件的访问权限或文件类型发生了变化

5 表示MD5校验和发生了变化

D 表示设备节点的属性发生了变化

L 表示文件的符号链接发生了变化

U 表示文件/子目录/设备节点的owner发生了变化

G 表示文件/子目录/设备节点的group发生了变化

T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。

不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。

;

“警告：本服务器放置于美国,受美国法律保护,未满18岁禁止访问”是指该服务器的是存放在美利坚合众国的管辖区域内，不受其他国家法律的管辖，只接受美国法律的管辖，其网页中登载的内容属于限制级内容，未满18周岁的观众不适合观看里面的内容。

该表述多出现在色情、博彩类网站之中。

扩展资料：

审查分级管理机构（CARA）

G级：

·G级：大众级，适合所有年龄段的人观看--该级别的内容可以被父母接受，影片没有裸体、性爱场面，吸毒和暴力场面非常少。对话也是日常生活中可以经常接触到的；

PG级：

·PG级：辅导级，一些内容可能不适合儿童观看-该级别的基本没有性爱、吸毒和裸体场面，即使有时间也很短，此外，恐怖和暴力场面不会超出适度的范围；

PG-13级：

·PG-13级：特别辅导级，13岁以下儿童尤其要有父母陪同观看，一些内容对儿童很不适宜——该级别的没有粗野的持续暴力镜头，一般没有裸体镜头，有时会有吸毒镜头和脏话；

R级：

· R级：限制级，13岁-17岁观众要求有父母或成人陪同观看--该级别的影片包含成人内容，里面有较多的性爱、暴力、吸毒等场面和脏话；

NC-17级：

·NC-17级：17岁以下观众禁止观看--该级别的影片被定为成人影片，未成年人坚决被禁止观看。影片中有清楚的性爱场面，大量的吸毒或暴力镜头以及脏话等。

参考资料：

百度百科-R级

问题一：开后门是什么意思。 开后门意思是：
“ 开后门”： 比喻当权者以权谋私，为行贿者提供的方便（之门）。 开后门比喻利用职权给予他人某些不应有的方便和利益。
典故：
南宋吉水人罗大经所撰《鹤林玉露》，在甲编卷6中有“留后门”一条，其文曰：“今若直前，万一蹉跌，退将安托要须留后门，则庶几进取有据。”这里所说的“留后门”，是指办事“留退路”的意思。
“开后门”一词，则首见于明人王一鹗的《总督四镇奏议十・举劾四镇将令疏》：“占公匠六十余名，各色营造私开后门，物议沸腾。”这里的“开后门”，是指“开方便之门”，即在房屋的两侧或后面开一些小门，以方便人的出入。
关于“后门”，据酒徒新书《家园》描述：大隋朝承袭汉制，官府衙门都是坐北朝南。如果职位高到可携带家眷上任，官员的妻儿老小通常都安置在衙门后宅。平素公务往来，客人走得全是前门，只有私交甚好的朋友或者自家晚辈才走后门入内。
今一般指通过某种关系达到自身不能达到的目的
词 性：
贬义
其它解释
(1)比喻留退路。《朱子语类》卷一○五：“除非那人做工夫大段严迫，然后劝他勿迫切。如人相杀，未曾交锋，便要引退。今未曾做工夫在，便要开后门。然亦不解迫切，只是不曾做，做著时不患其迫切。” 明 《杀狗记・王老谏主》：“[生]请问爹爹，今年田地有收么？[]种得便有收，不种没收。[丑] 孙阿伯 的说话，也是开后门的。”《绿野仙踪》第四二回：“ 如玉 坐下说道：‘我原不计论他，若计论他，也不来了。’ 苗秃子 道：‘这都是开后门的话。’”
(2)指开方便之门，给予通融。 克非 《春潮急》四：“提倡‘自由借货’，不妥吧？我仿佛记得一九五三年总路线公布后，各地在批判‘四大自由’时，就批判过。那样搞，实际上是给高利贷开后门呢！”

问题二：电脑上开后门是什么意思 每一个电脑端口就是一个后门有后门黑客就有可乘之机
电脑后门三种关法
电脑为什么会被“入侵”？首先，我们先来谈谈个人电脑入侵的原理。我们可以把一台已联网的个人电脑当做是一台几乎所有常用端口（Telnet、FTP等）都被封闭的服务器。那么从攻击手段上来讲，常用的端口查询法就失灵了。但是，由于服务器的端口最大可以有65535个，实际上常用的端口才几十个，可以看出未定义端口相当的多。这就表示我们可以采用某种方法定义出一个特殊的端口来达到入侵的目的。为了定义出这个端口，就要依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口。这个程序就是“后门”程序。简单的说，我们先通过某种手段在一台个人电脑中植入一个程序，使这台机器变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后就可以达到侵入的目的。
很明显，光有“后门”程序是不够的。一个好的控制工具一般分成两个部分：一个是Client，也就是客户服务程序，我们用它来控制已经打开后门的机器；另一个是Trojan／Host，也就是“后门”程序了，我们用它来开放某台机器。假设我们想控制机器A。那么我们通过一些手段来把“后门”程序传到机器A上并使其运行之，这样A就变成了一台特殊FTP的服务器，然后我们使用Client程序就可以控制A了。
当然了，后门程序如果不运行也就无法发挥作用。因此，我们再来讲讲如何“诱骗”他人使用后门程序。如果是朋友，去他机器那儿偷偷地装上就行了。但是，我们主要的对象是不熟悉的人，那就需要一些方法了。第一，我们先要和他搞好关系，然后就可以问他：“我有一个不错的程序要不要看看？”或者“给你一张我的照片怎么样？”当那个可怜的人说“行呀！给我传过来吧！”我们的第一步就达成了：）。第二步就是伪装术了。简单一些的话是直接把后门程序改名，改成一些常见的名称如ICQNuke、Readme等或者更改后缀，变成TXT或者文件格式。这样当他双击这些伪装的程序后就达到了运行的目的了。复杂一些的方法是利用Winzip的SelfExtrator软件把后门程序和一些其它的东西一起制作成一个自解压的压缩包，然后利用设定解压后自动运行Setup程序的功能来运行指定的“后门”程序。这样当他双击自解压程序后，还没等回过味来，程序就已经运行完了。对于高手来说，他们经常会编写一些程序，把“后门”藏在其中。
最后，当你知道了他的IP后，就可以利用客户服务程序去接管目标机器了。
我们已经知道了常用的“诱骗”方法，那么该如何预防后门程序的植入呢？第一，不要随便接受陌生人发来的电子邮件、文件。第二，喜欢聊天的朋友不要轻易暴露自己的IP（大部分人上网的IP都是动态分配的，因此，只要不随便暴露IP，就能较为有效地防止他人入侵）。第三，不要用Windows自带的密码记忆功能来存放你ISP的密码，这种密码保存在Windows／目录下，后缀是PWL的文件中。
《北京青年报》 2000年07月05日

问题三：开后门是什么意思 托关系，用非正常的手段达到自己的目的

问题四：电脑上开后门是什么意思啊？ 木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出，捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法 *** 作。
川防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。
如何用木马病毒他人信息？？？
它是样的！你中了木马的服务端后，木马服务端就会在你的电脑上开端口（也就是所说的后门），等待远程的客户端的主到连接（这是主到连接式木马，但这种木马不好，如果你开防火墙了，他可以就连接不到你，因为它在连接你的时候，防火墙会向你寻问是否允许连接），还有一种是反d式木马，服务端运行后会主动去连接客户端，一但连接上了客户端（也就是制作这个木马的人的电脑），那他就能通过一些“益出”漏洞什么的，拿到你电脑的一定权限，然后再通过一些提权的方法，最终在你的电脑上建个管理账号，就能远程控制你的电脑，通过一些命令，如xcopy等或架设个小型ftp服务器把你的文件烤到自己的电脑上，或在你的电脑上看！
也有一些木马能记录你键盘输入的口令，并自动发送到指定邮箱或空间！这样你的信息就被盗走了！
说的点乱，但就是这样的！你将就看看吧！希望你能看懂！

问题五：计算机被开了后门是什么意思 计算机被开了后门就是说中了后门木马，他会计算机信息

问题六：一个风水师说我家围墙不用开后门都可以是什么意思 后门的作用有很多，所以代表的意义也就不尽相同~
以前的后门都是出现在大户人家的庭院：
开始是由下人或者仆人专走的门径，后来因为方便，所以发展和推广的很快。虽然从某种意义上看确实方便很多，但带来的问题和严重性也有很多，如下人偷约、仆人偷溜、夹带、盗贼行窃、外人入侵、密谋、私会等等往往都行此门，所以后门又被看作是灾门、败门、破财门或者小人之门~ 正因如此，后来许多大户人家的豪宅把后门（升级）改为偏门，因而减少了很多不利因素~
不知你们家为什么要开后门，也不知道你们请的风水师说不用开后门的原因。现在鱼龙混杂、唯利是图的人太多，有时间还是问清楚比较好~


问题七：形容开后门的成语 走后门
拼 音zǒu hòu mén
解 释比喻通过托情或利用职权等不正当的途径谋取通融或利益。
诗例阿袁(即陈忠远)《北兵马司新授课点即事》(二首之二)诗:人知天上云，风日每推尊。自觉导先路，何曾走后门!
文例 《坚持四项基本原则》:违反党的原则，闹派性，搞特殊化，走后门，铺张浪费，损公肥私。
事 例路遥《平凡的世界》第四卷第54章:~就~!为了给少平办成这事，她甚至故意让'关口'上的人知道她是谁的女儿!
近义词走捷径
歇后语耗子倒洞
用 法作谓语、宾语、定语;用于处事。

1、发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。这时候很多站长朋友可能会想，不行呀，网站关闭几个小时，那该损失多大啊，可是你想想，是一个可能被黑客修改的钓鱼网站对客户的损失大，还是一个关闭的网站呢你可以先把网站暂时跳转到一个单页面，写一些网站维护的的公告。
2、下载服务器日志，并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间，但是这是必须得做的事情，你必须确认黑客没在服务器上安装后门木马程序，同时分析系统日志，看黑客是通过哪个网站，哪个漏洞入侵到服务器来的。找到并确认攻击源，并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者代理IP地址。
3、Windows系统打上最新的补丁，然后就是mysql或者sql数据库补丁，还有php以及IIS，serv-u就更不用说了，经常出漏洞的东西，还有就是有些IDC们使用的虚拟主机管理软件。
4、关闭删除所有可疑的系统帐号，尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限，关闭可执行的目录权限，对和非脚本目录做无权限处理。
5、完成以上步骤后，你需要把管理员账户密码，以及数据库管理密码，特别是sql的sa密码，还有mysql的root密码，要知道，这些账户都是具有特殊权限的，黑客可以通过他们得到系统权限!
6、Web服务器一般都是通过网站漏洞入侵的，你需要对网站程序进行检查(配合上面的日志分析)，对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。如果不能完全确认攻击者通过哪些攻击方式进行攻击，那就重装系统，彻底清除掉攻击源。

教你一招！你可以用360安全卫士里的网络连接状态察看这个疑似后门的软件是否打开了不明IP地址，把这个IP地址记录下来，然后用瑞星卡卡的IP查询工具查询，如果确有问题，那就把这个软件删除

先用杀毒软件杀一下看看,再安
别信楼上的，软件的后门，也就是类似与一个漏洞一样，可以通过那个后门来达到远程控制的目的，比如说SQL数据库里的SA空密码就是一个例子，要想知道软件是否有后门，这个问题很复杂啊。
如果你是自己的电脑，那我推荐你，就不用管那些个事情了，即使有后门的话，对你电脑也不会有什么影响的，因为黑客主要是想找那些能做服务器用的机器。
如果是公家的电脑，你大可以写个报告，向上面要求一下，使用正版软件啊。
自己看。先杀,在安装~!!
抓包软件和好的防火墙能看到的是你的软件是否有和外部有网络连接,并不能看出是否有后门,你可以通过它们来分析与你连接的IP,你可以看看进程
你想知道进程是不是在后台也有运行的!那这个的话进程管理器就可以看到所有的进程了,包括后台运行的，软件的话,我到现在也没看见过,不过病毒有是有后台运行的,但是就IEXPLORER这个吧,是IE中毒后才有的,但是一般打开网站点就一个IEXPLORER,多了的就是病毒,所以这个还是需要点时间自己去了解的!
教你一招！你可以用360安全卫士里的网络连接状态察看这个疑似后门的软件是否打开了不明IP地址，把这个IP地址记录下来，然后用瑞星卡卡的IP查询工具查询，如果确有问题，那就把这个软件删除！
你这个问题真能问到人我估计没人能得你那几百分你知道网上的破解软件,绿色软件是怎么来的嘛并不是人家用什么后门搞,你要想把这个问题搞懂建议你去学习几年编程自然就懂了不用人教好多破解软件都是人家反编译后修改过的具体有什么不明白的加我QQ:36412749注意意图
我还是拿走我应得的2分吧哈哈
装个System Safety Monitor（简称SSM），下载：
>1、检查系统密码文件
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
awk –F: ‘length($2)==0 {print $1}’ /etc/shadow
2、查看一下进程，看看有没有奇怪的进程
重点查看进程：ps –aef | grep inetd
inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。
输入ps –aef 查看输出信息，尤其注意有没有以/xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，会找到很多有趣的东东，
接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。
3、检查系统守护进程
检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是你这台机器所开启的远程服务。
一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。
输入netstat –rn，查看本机的路由、网关设置是否正确。
输入 ifconfig –a，查看网卡设置。
5、检查系统日志
命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。

---