有以下幾個重點檢查項目：

?  檢查系統日志，看是否有異常的登錄記錄或錯誤登錄嘗試。您可以使用 last 命令查看系統登錄日志，或者查看 /var/log/secure 文件。

?  檢查系統用戶，看是否有不明的用戶或者特權用戶。您可以使用 cat /etc/passwd 和 cat /etc/shadow 命令查看用戶列表，或者使用 awk -F: '$3==0 {print $1}' /etc/passwd 命令查看 UID 為 0 的用戶，或者使用 awk -F: 'length ($2)==0 {print $1}' /etc/shadow 命令查看空口令賬戶。

?  檢查系統進程，看是否有異常的進程或者隱藏進程。您可以使用 ps -ef 命令查看進程列表，或者使用 ps -ef | awk ' {print }' | sort -n | uniq >1 和 ls /porc |sort -n |uniq >2 命令，然后使用 diff 1 2 命令查看隱藏進程。

?  檢查系統文件，看是否有異常的文件或者被修改的文件。您可以使用 find / -uid 0 –perm -4000 –print 命令查看特殊權限的文件，或者使用 find / -size +10000k –print 命令查看大文件，或者使用 find / -name "..." –print 命令查看不明文件，或者使用 rpm -Va 命令查看 RPM 的完整性。

?  檢查系統網絡，看是否有異常的連接或者流量。您可以使用 ip link | grep PROMISC 命令查看網卡是否在混雜模式，或者使用 lsof –i 或 netstat –nap 命令查看打開的端口和連接，或者使用 arp –a 命令查看 ARP 表，或者使用 tcpdump 或 iperf 工具抓取和分析網絡流量。

?  檢查系統計劃任務，看是否有異常的任務或者后門。您可以使用 crontab –u root –l 命令查看 root 用戶的計劃任務，或者使用 cat /etc/crontab 命令查看系統的計劃任務，或者使用 ls /etc/cron.* 命令查看其他的計劃任務，或者使用 cat /etc/rc.d/rc.local 命令查看系統啟動時執行的腳本，或者使用 ls /etc/rc.d 和 ls /etc/rc3.d 命令查看系統啟動時加載的服務。

?  檢查系統服務，看是否有異常的服務或者 RPC 服務。您可以使用 chkconfig —list 命令查看系統服務，或者使用 rpcinfo -p 命令查看 RPC 服務。

?  檢查系統 rootkit，看是否有異常的內核模塊或者程序。您可以使用 rkhunter -c 或 chkrootkit -q 工具檢測系統 rootkit。