查詢linux入侵證據

要查詢linux系統入侵證據，可從如下幾個方面入手：

1.last，lastlog命令可檢視最近登入的帳戶及時間

2./var/log/secure , /var/log/messages日誌資訊可以通過accept關鍵字檢視系統是否有被可疑ip位址登入成功資訊。

3.使用者任務計畫，檔案/var/spool/cron/tabs/使用者，某些黑客會將後門程式，病毒設定為計畫任務，定時執行

4.幾個經常被放置木馬，病毒的目錄，/tmp, /var/tmp, /dev/shm由於這些目錄都設定了sbit，即所有使用者都可讀，可寫，可執行。並且在訪問這些目錄的同時擁有root許可權，所以即使黑客沒有拿到root許可權，在這些目錄上傳病毒，木馬是非常方便的

5.通過時間來查詢，find / -ctime n n為指定的時間，可通過上述找到的資訊，綜合判斷，然後選取時間點，查詢在那個時間點建立的檔案。比如2天前的24小時內，就可用find / -ctime 2 > /tmp/file.log (如果不想刷屏，可重定向到檔案)

6.各類服務日誌，比如apache日誌:

$apache_home/logs/access_log ,$apache_home/logs/error_log

linux, 入侵證據

nikto使用教程

恢復windows server 2003的預設許可權設定