1.查看近些天用户登陆信息,包含IP
last
2.查看当前登陆用户
who
3.查看当前登陆用户的行为
w
4.查看是否存在可疑账户
cat /etc/passwd
5.踢掉用户
pkill -u theanswer(用户)
6.网络上的数据包进行截获分析
TCPDUMP 相当于windows下的wireshark
比如:tcpdump -nn host IP and port 80 抓取通过80端口请求的数据包
7.监听的端口查看
netstat -tulpn
8.查看服务器开放的端口,可以使用工具nmap查看
安装:yum -y install nmap 命令查看 nmap -PS IP
9.检查需要打哪些补丁及系统更新
yum check-update
yum update
10.查找较多time_wait连接
netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20
/var/log/message – 记录系统日志或当前活动日志。
/var/log/auth.log – 身份认证日志。
/var/log/kern.log – 内核日志。
/var/log/cron.log – Crond 日志 (cron 任务).
/var/log/maillog – 邮件服务器日志。
/var/log/boot.log – 系统启动日志。
/var/log/mysqld.log – MySQL数据库服务器日志。
/var/log/secure – 用户登陆操作认证日志。每七天备份一次,可以在/var/log下查找
/var/log/utmp or /var/log/wtmp :登录日志。
/var/log/yum.log: Yum 日志。