linux系统的服务器被入侵了怎么办，下面是总结的方法，可以供大家参考： 

1、检查帐户

#less/etc/passwd

#grep:0:/etc/passwd（检查是否产生了新用户，和UID、GID是0的用户）

#ls-l/etc/passwd（查看文件修改日期）

#awk-F:‘$3==0{print$1}’/etc/passwd（查看是否存在特权用户）

#awk-F:‘length($2)==0{print$1}’/etc/shadow（查看是否存在空口令帐户）

2、检查日志

#last（查看正常情况下登录到本机的所有用户的历史记录）

注意”enteredpromiscuousmode”

注意错误信息

注意RemoteProcedureCall(rpc)programswithalogentrythatincludesalargenumber(>20)strangecharacters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3、检查进程

#ps-aux（注意UID是0的）

#lsof-ppid（察看该进程所打开端口和文件）

#cat/etc/inetd.conf|grep-v“^#”（检查守护进程）

检查隐藏进程

#ps-ef|awk‘{print}’|sort-n|uniq>1

#ls/porc|sort-n|uniq>2

#diff12

4、检查文件

#find/-uid0–perm-4000–print

#find/-size+10000k–print

#find/-name“…”–print

#find/-name“..”–print

#find/-name“.”–print

#find/-name””–print

注意SUID文件，可疑大于10M和空格文件

#find/-namecore-execls-l{};（检查系统中的core文件）

检查系统文件完整性

#rpm–qf/bin/ls  

#rpm-qf/bin/login 

#md5sum–b文件名

#md5sum–t文件名

5、检查RPM

#rpm–Va

输出格式：

S–Filesizediffers

M–Modediffers(permissions)

5–MD5sumdiffers

D–Devicenumbermismatch

L–readLinkpathmismatch

U–userownershipdiffers

G–groupownershipdiffers

T–modificationtimediffers

注意相关的/sbin,/bin,/usr/sbin,and/usr/bin

6、检查网络

#iplink|grepPROMISC（正常网卡不该在promisc模式，可能存在sniffer）

#lsof–i

#netstat–nap（察看不正常打开的TCP/UDP端口)

#arp–a

7、检查计划任务

注意root和UID是0的schedule

#crontab–uroot–l

#cat/etc/crontab

#ls/etc/cron.*

8、检查后门

#cat/etc/crontab

#ls/var/spool/cron/

#cat/etc/rc.d/rc.local

#ls/etc/rc.d

#ls/etc/rc3.d

#find/-typef-perm4000

9、检查内核模块

#lsmod

10、检查系统服务

#chkconfig

#rpcinfo-p（查看RPC服务）

11、检查rootkit

#rkhunter-c

#chkrootkit-q