下面是一些个人的经验的总结, 相信对于是否受到入侵的UNIX或者 UNIX-clone(freebsd,openbsd,netbsd,linux,etc)都是有用的:
首先大家可以通过下面的系统命令和配置文件来跟踪入侵者的来源路径:
1.who------(查看谁登陆到系统中)
2.w--------(查看谁登陆到系统中,且在做什么)
3.last-----(显示系统曾经被登陆的用户和TTYS)
4.lastcomm-(显示系统过去被运行的命令)
5.netstat--(可以查看现在的网络状态,如telnet到你机器上来的用户
的IP地址,还有一些其它的网络状态。)
6.查看router的信息。
7./var/log/messages查看外部用户的登陆状况
8.用finger 查看所有的登陆用户。
9.查看用户目录下/home/username下的登陆历史文件(.history
.rchist,etc).
后注:?0
