1、history
find . -name ".bash_history" -exec cat {} \; > /tmp/cmd/user_history<br />找到历史命令并衔接cat{.bash_history}文件 重定向user_history
2、 文件检查-系统关键文件
- /etc/passwd 是系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读操作。
- /etc/shadow 用于存储 Linux 系统中用户的密码信息,只有root有读权限(这可以看到通过ssh暴力破解进来的用户)
- /etc/group
- /etc/profile/
- /root/.bash_profile
- /home/{username}/.bash.history
- /root/.bash_logout 查看ssh 登出时间 (vim .bash_logout -> 写入 date > /tmp/logout) 登出后,登入查看文件,看到用户登出时间。
- 系统关键目录
- /tmp/
- /var/tmp/
- /dev/shm/
3、系统安装包检查(rpm)
列出系统所有rpm包
rpm -qa
校验系统所有rpm包
rpm -V -a
校验特定文件或者命令
rpm -V -f /etc/sysconfig/authconfig (检查该文件或者命令是否被修改)
若有收获,就点个赞吧
0 人点赞
