有以下幾個(gè)重點(diǎn)檢查項(xiàng)目：

?  檢查系統(tǒng)日志，看是否有異常的登錄記錄或錯(cuò)誤登錄嘗試。您可以使用 last 命令查看系統(tǒng)登錄日志，或者查看 /var/log/secure 文件。

?  檢查系統(tǒng)用戶，看是否有不明的用戶或者特權(quán)用戶。您可以使用 cat /etc/passwd 和 cat /etc/shadow 命令查看用戶列表，或者使用 awk -F: '$3==0 {print $1}' /etc/passwd 命令查看 UID 為 0 的用戶，或者使用 awk -F: 'length ($2)==0 {print $1}' /etc/shadow 命令查看空口令賬戶。

?  檢查系統(tǒng)進(jìn)程，看是否有異常的進(jìn)程或者隱藏進(jìn)程。您可以使用 ps -ef 命令查看進(jìn)程列表，或者使用 ps -ef | awk ' {print }' | sort -n | uniq >1 和 ls /porc |sort -n |uniq >2 命令，然后使用 diff 1 2 命令查看隱藏進(jìn)程。

?  檢查系統(tǒng)文件，看是否有異常的文件或者被修改的文件。您可以使用 find / -uid 0 –perm -4000 –print 命令查看特殊權(quán)限的文件，或者使用 find / -size +10000k –print 命令查看大文件，或者使用 find / -name "..." –print 命令查看不明文件，或者使用 rpm -Va 命令查看 RPM 的完整性。

?  檢查系統(tǒng)網(wǎng)絡(luò)，看是否有異常的連接或者流量。您可以使用 ip link | grep PROMISC 命令查看網(wǎng)卡是否在混雜模式，或者使用 lsof –i 或 netstat –nap 命令查看打開的端口和連接，或者使用 arp –a 命令查看 ARP 表，或者使用 tcpdump 或 iperf 工具抓取和分析網(wǎng)絡(luò)流量。

?  檢查系統(tǒng)計(jì)劃任務(wù)，看是否有異常的任務(wù)或者后門。您可以使用 crontab –u root –l 命令查看 root 用戶的計(jì)劃任務(wù)，或者使用 cat /etc/crontab 命令查看系統(tǒng)的計(jì)劃任務(wù)，或者使用 ls /etc/cron.* 命令查看其他的計(jì)劃任務(wù)，或者使用 cat /etc/rc.d/rc.local 命令查看系統(tǒng)啟動(dòng)時(shí)執(zhí)行的腳本，或者使用 ls /etc/rc.d 和 ls /etc/rc3.d 命令查看系統(tǒng)啟動(dòng)時(shí)加載的服務(wù)。

?  檢查系統(tǒng)服務(wù)，看是否有異常的服務(wù)或者 RPC 服務(wù)。您可以使用 chkconfig —list 命令查看系統(tǒng)服務(wù)，或者使用 rpcinfo -p 命令查看 RPC 服務(wù)。

?  檢查系統(tǒng) rootkit，看是否有異常的內(nèi)核模塊或者程序。您可以使用 rkhunter -c 或 chkrootkit -q 工具檢測(cè)系統(tǒng) rootkit。