雷锋网按：文中创作者sm0nk@猎户防御试验室，雷锋网宅客频道栏目受权转截，圣人技艺小区有着所有内容著作权。新闻媒体或商业服务转截务必得到 受权，违反者必追责法律依据。

1事项归类

普遍的安全事项：

Web侵入：镜像劫持、窜改、Webshell

系统入侵：系统错误、RDP工程爆破、SSH工程爆破、服务器漏洞

病毒木马病毒：远程控制、侧门、勒索病毒

数据泄露：拖裤、数据库查询登陆（弱口令）

数据流量：频繁分包、大批量要求、DDOS进攻

2清查心绪

一个通例的侵入事项后的系统软件清查心绪：

文档分析

a)文档时间、增加文档、异常/出现异常文档、最近使用文档、浏览器下载文档

b)Webshell清查与分析

c)聚焦点运用关系文件目录文档分析

过程分析

a)当今流动性过程amp;远程控制紧邻

b)起动过程amp;任务计划

c)过程专用工具分析

i.Windows:Pchunter

ii.Linux:Chkrootkitamp;Rkhunter

系统信息

a)系统变量

b)账号信息内容

c)History

d)系统软件环境变量

系统日志分析

a)电脑操作系统系统日志

i.Windows:事项查看器（eventvwr）

ii.Linux:/var/log/

b)运用系统日志分析

i.Access.log

ii.Error.log

3分析清查

3.1Linux系列分析清查

3.1.1文档分析

比较敏感文件目录的文档分析（类/tmp文件目录，一声令下文件目录/usr/bin/usr/sbin）

比如:

查询tmp文件目录下的文档：ls–alt/tmp/

查询系统启动项內容：ls-alt/etc/init.d/

查询特定文件目录下文档時间的排列：ls-alt|head-n10

对于异常文档能够应用stat举办创建修改时间、会见時间的详尽查询，若修改时间间距事项时间挨近，有 线形关系，表明很有可能被窜改或是别的。

增加文档分析

比如要搜索24小时内被改动的JSP文档：find./-mtime0-name"*.jsp"

（最后一次改动产生在间距获取当前时间n24小时至(n 1)24小时）

搜索三天内增加的文档find/-ctime-2

PS：-ctime內容未更改管理权限更改時刻还可以查出来

凭证明确時间去推算替换的文档