文件分析

• 最近使用文件

– find / -ctime -2

– C:\Documents and Settings\Administrator\Recent

– C:\Documents and Settings\Default User\Recent

– %UserProfile%\Recent

• 系统日志分析

– /var/log/

• 重点分析位置

– /var/log/wtmp 登录进入，退出，数据交换、关机和重启纪录

– /var/run/utmp 有关当前登录用户的信息记录

– /var/log/lastlog 文件记录用户最后登录的信息，可用 lastlog 命令来查看。

– /var/log/secure 记录登入系统存取数据的文件，例如 pop3/ssh/telnet/ftp 等都会被记录。

– /var/log/cron 与定时任务相关的日志信息

– /var/log/message 系统启动后的信息和错误日志

– /var/log/apache2/access.log apache access log

– /etc/passwd 用户列表

– /etc/init.d/ 开机启动项

– /etc/cron* 定时任务

– /tmp 临时目录

– ~/.ssh

用户分析

• /etc/shadow 密码登陆相关信息

• uptime 查看用户登陆时间

• /etc/sudoers sudo 用户列表

进程分析

• netstat -ano 查看是否打开了可疑端口

• w 命令，查看用户及其进程

• 分析开机自启程序/脚本

– /etc/init.d

– ~/.bashrc

• 查看计划或定时任务

– crontab -l

• netstat -an / lsof 查看进程端口占用