1.檢視哪些使用者擁有/bin/bash許可權

cat /etc/passwd

2.檢查常用命令是否被篡改

（1）找到命令檔案的路徑（whereis和which）
whereis netstat
which netstat

which netstat
/bin/netstat

whereis netstat
netstat: /bin/netstat /usr/share/man/man8/netstat.8.gz

（2）觀察命令的屬性，主要看修改時間和大小（stat和ll）

stat /bin/netstat

ll -h /bin/ps 

-rwxr-xr-x. 1 root root 81K Nov 15  2012 /bin/ps
 

如果發現命令異常，可能被篡改，可以上傳到微步鑑別一下。為了排除干擾，建議從其他正常系統中拷貝命令集使用。

stat 可以檢視檔案的訪問、修改、改變時間
對檔案使用more\less\cat命令後文件的訪問時間分別變化為最後一次訪問的時間，而檔案的修改時間和改變時間並沒有發生變化。

stat /bin/netstat

File: `/bin/netstat’ Size: 123360 （Byte） Blocks: 248 IO
Block: 4096 regular file Device: fc01h/64513d Inode: 5219
Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: (
0/ root) Access: 2018-05-07 17:00:50.927556605 +0800 Modify:
2012-05-10 16:17:33.000000000 +0800 Change: 2015-11-17
18:47:03.594999914 +0800

觀察檔案大小，如果特別大即有可能異常
觀察列出的第三行最後改動時間，如果為事發時間附近即有可能異常

3.檔案隱藏屬性attrtest
（1）顯示檔案attrtest隱藏屬性

lsattr attrtest

（2）給檔案attrtest新增或者刪除i屬性

chattr +i attrtest
chattr -i attrtest

4.檢查history命令輸出為空

ls -l ~/.bash_history

在你執行了上述的命令後你將看到類似以下的正常輸出：

-rw—— 1 jd jd 13829 Oct 10 17：06 /home/jd/.bash_history
 

如果你看到以下的輸出：

lrwxrwxrwx 1 jd jd 9 Oct 10 19：40 /home/jd/.bash_history -> /dev/null

表明這個 .bash_history 檔案已經被重定向到/dev/null.這是一個致命的資訊。

如何清空歷史記錄history？

linux 清空history以及記錄原理
1、當前session執行的命令，放置快取中,執行exit時,把快取資訊寫入~/.bash_history
2、當session直接被kill時,快取中的歷史命令不會寫入~/.bash_history
3、正確清空當前使用者的history的方法

~/.bash_history history -c #清空當前快取中的命令 exit
#關閉shell連線,可以避免寫入~/.bash_history
#執行exit，會把該命令記錄到~/.bash_history檔案去"

5.環境變數和當前連線IP

env

6.歡迎語

cat /etc/motd 切資料，勒索的多用

7.重啟關機記錄
（1）last

last | grep rebootlast | grep shutdown

（2）messages log
在/var/log/messages日誌中查詢reboot （系統重啟） 或者halt（系統關機）

grep reboot /var/log/messages
grep halt /var/log/messages 

8.踢出惡意使用者的連線、kill 惡意程序、reset 使用者密碼
（1）根據TTY提出可疑使用者：pkill -kill -t tty1
（2）根據PID殺掉惡意程序：kill -9 31685
（3）修改使用者密碼

修改user1的密碼passwd user1
修改當前使用者的密碼passwd
9.rm刪除惡意檔案
刪除資料夾：

rm -rf /var/log/httpd/access

將會刪除/var/log/httpd/access目錄以及其下所有檔案、資料夾
刪除檔案：

rm -f /var/log/httpd/access.log

將會強制刪除/var/log/httpd/access.log這個檔案
10.Iptables儲存、重啟、關閉、列出規則、新增規則
iptables相關使用說明
（1）儲存iptables配置service iptables save
（2）關閉、開啟、重啟防火牆

/etc/init.d/iptables stop
/etc/init.d/iptables start
/etc/init.d/iptables restart
/etc/init.d/iptables status
或
service iptables start
service iptables stop
service iptables restart
service iptables status

（3）凡是對iptables做完修改都應該儲存設定並重啟
（4）檢視Iptables轉發規則：cat /etc/sysconfig/iptables或者service iptables status

iptables -L列出規則
iptables -L -n -v"  "Iptables規則：只允許192.168段的IP訪問

iptables -A INPUT -p tcp --dport 54321 -j DROP
iptables -A INPUT -p tcp -s 192.168.0.0/16 --dport  54321 -j ACCEPT     
或
iptables -I INPUT -p tcp --dport 11211 -j DROP
iptables -I INPUT -s 192.168.0.0/16 -p tcp --dport 11211 -j ACCEPT

service iptables save
service iptables restart

Iptables刪除規則
iptables -D INPUT -p tcp --dport 11211 -j DROP

重啟網絡卡    "啟動、關閉、重啟網絡卡eth0
ifconfig eth0 up
ifconfig eth0 down
ifconfig eth0 down && ifconfig eth0 up

ifdown eth0  
ifup eth0 

啟動、關閉、重啟所有網絡卡
service network restart
service network start
service network stop
systemctl restart network 

一些情況下service命令會收給root使用，而普通使用者在特定情況下仍可以使用ifconfig。