简单几个小技巧查找linux入侵证据

要查找linux系统入侵证据，可从如下几个方面入手：
1.last，lastlog命令可查看最近登录的帐户及时间
2./var/log/secure , /var/log/messages日志信息可以通过accept关键字查看系统是否有被可疑IP地址登录成功信息。
3.用户任务计划，文件/var/spool/cron/tabs/用户，某些黑客会将后门程序，病毒设置为计划任务，定时执行
4.几个经常被放置木马，病毒的目录，/tmp, /var/tmp, /dev/shm由于这些目录都设置了SBIT，即所有用户都可读，可写，可执行。并且在访问这些目录的同时拥有root权限，所以即使黑客没有拿到root权限，在这些目录上传病毒，木马是非常方便的
5.通过时间来查找，find / -ctime n   n为指定的时间，可通过上述找到的信息，综合判断，然后选取时间点，查找在那个时间点创建的文件。比如2天前的24小时内，就可用find / -ctime 2 > /tmp/file.log (如果不想刷屏，可重定向到文件）
6.各类服务日志，比如apache日志:
$APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log

91ri.org：只是比较简单的查找方法，欢迎补充。

本文转自网络由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。