whois 命令可以接一個(gè) IP 地址然后告訴你該 IP 所注冊(cè)的組織的所有信息，當(dāng)然就包括所在國(guó)家的信息。

    檢查 2 – 誰(shuí)曾經(jīng)登錄過(guò)？

    Linux 服務(wù)器會(huì)記錄下哪些用戶，從哪個(gè) IP，在什么時(shí)候登錄的以及登錄了多長(zhǎng)時(shí)間這些信息。使用 last 命令可以查看這些信息。

    輸出類似這樣：

    root     pts/1        78.31.109.1      Thu Nov 30 08：26   still logged in

    root     pts/0        113.174.161.1    Thu Nov 30 08：26   still logged in

    root     pts/1        78.31.109.1      Thu Nov 30 08：24 - 08：26  (00：01)

    root     pts/0        113.174.161.1    Wed Nov 29 12：34 - 12：52  (00：18)

    root     pts/0        14.176.196.1     Mon Nov 27 13：32 - 13：53  (00：21)

    這里可以看到英國(guó) IP 和越南 IP 交替出現(xiàn)，而且最上面兩個(gè) IP 現(xiàn)在還處于登錄狀態(tài)。如果你看到任何未經(jīng)授權(quán)的 IP，那么請(qǐng)參閱最后章節(jié)。

    登錄后的歷史記錄會(huì)記錄到二進(jìn)制的 /var/log/wtmp 文件中（LCTT 譯注：這里作者應(yīng)該寫(xiě)錯(cuò)了，根據(jù)實(shí)際情況修改），因此很容易被刪除。通常攻擊者會(huì)直接把這個(gè)文件刪掉，以掩蓋他們的攻擊行為。 因此, 若你運(yùn)行了 last 命令卻只看得見(jiàn)你的當(dāng)前登錄，那么這就是個(gè)不妙的信號(hào)。

    如果沒(méi)有登錄歷史的話，請(qǐng)一定小心，繼續(xù)留意入侵的其他線索。

    檢查 3 – 回顧命令歷史

    這個(gè)層次的攻擊者通常不會(huì)注意掩蓋命令的歷史記錄，因此運(yùn)行 history 命令會(huì)顯示出他們?cè)?jīng)做過(guò)的所有事情。 一定留意有沒(méi)有用 wget 或 curl 命令來(lái)下載類似垃圾郵件機(jī)器人或者挖礦程序之類的非常規(guī)軟件。

    命令歷史存儲(chǔ)在 ~/.bash_history 文件中，因此有些攻擊者會(huì)刪除該文件以掩蓋他們的所作所為。跟登錄歷史一樣，若你運(yùn)行 history 命令卻沒(méi)有輸出任何東西那就表示歷史文件被刪掉了。這也是個(gè)不妙的信號(hào)，你需要很小心地檢查一下服務(wù)器了。（LCTT 譯注，如果沒(méi)有命令歷史，也有可能是你的配置錯(cuò)誤。）

    檢查 4 – 哪些進(jìn)程在消耗 CPU？

    你常遇到的這類攻擊者通常不怎么會(huì)去掩蓋他們做的事情。他們會(huì)運(yùn)行一些特別消耗 CPU 的進(jìn)程。這就很容易發(fā)現(xiàn)這些進(jìn)程了。只需要運(yùn)行 top 然后看最前的那幾個(gè)進(jìn)程就行了。

    這也能顯示出那些未登錄進(jìn)來(lái)的攻擊者。比如，可能有人在用未受保護(hù)的郵件腳本來(lái)發(fā)送垃圾郵件。

    如果你最上面的進(jìn)程對(duì)不了解，那么你可以 Google 一下進(jìn)程名稱，或者通過(guò) losf 和 strace 來(lái)看看它做的事情是什么。

    使用這些工具，第一步從 top 中拷貝出進(jìn)程的 PID，然后運(yùn)行：

    strace -p PID

    這會(huì)顯示出該進(jìn)程調(diào)用的所有系統(tǒng)調(diào)用。它產(chǎn)生的內(nèi)容會(huì)很多，但這些信息能告訴你這個(gè)進(jìn)程在做什么。

    lsof  -p PID

    這個(gè)程序會(huì)列出該進(jìn)程打開(kāi)的文件。通過(guò)查看它訪問(wèn)的文件可以很好的理解它在做的事情。

    檢查 5 – 檢查所有的系統(tǒng)進(jìn)程

    消耗 CPU 不嚴(yán)重的未授權(quán)進(jìn)程可能不會(huì)在 top 中顯露出來(lái)，不過(guò)它依然可以通過(guò) ps 列出來(lái)。命令 ps auxf 就能顯示足夠清晰的信息了。

    你需要檢查一下每個(gè)不認(rèn)識(shí)的進(jìn)程。經(jīng)常運(yùn)行 ps （這是個(gè)好習(xí)慣）能幫助你發(fā)現(xiàn)奇怪的進(jìn)程。