被入侵自查

检查系统密码文件：
[x] 查看passwd文件修改的日期: ls -l /etc/passwd
[x] 检查特权用户: awk -F: '$3==0 {print }' /etc/passwd
[x] 检查空口令帐户：awk -F: 'length()==0 {print }' /etc/shadow
查看进程
[x] 查看有没有奇怪的进程：ps -aef | grep inetd 。尤其注意有没有以. x开头的进程。
[x] 检查系统守护进程：输入：cat /etc/inetd.conf | grep -v "^#"
查看网络
[x] 检查网络连接和监听端口：分别用输入netstat -an，netstat -rn， ifconfig -a等来检查。
[x] 检查系统日志
[x] 检查系统中的core文件：输入find / -name core -exec ls -l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
[x] 检查系统文件完整性：rpm -V rpm -qf 文件名
[x] 检查内核级后门：首先，检查系统加载的模块，根据不同的系统，使用lsmod命令或modinfo命令来查看