发现异常后不要急于操作,先通过系统日志(/var/log/messages、/var/log/secure)、进程状态(ps auxf、top)、网络连接(netstat -tulnp 或 ss -tulnp)和最近登录记录(last、lastlog)交叉验证是否真实发生入侵或故障。重点排查:非预期的高权限进程、陌生外连IP、异常定时任务(crontab -l 及 /etc/crontab)、可疑用户账号和SSH密钥文件(~/.ssh/authorized_keys)。
Linux运维安全事件响应教程_应急处理流程
发现异常后不要急于操作,先通过…