-rw——-1jdjd13829Oct1017：06/home/jd/.bash_history

　　又或者，你可能会看到类似以下的输出：

　　lrwxrwxrwx1jdjd9Oct1019：40/home/jd/.bash_history->/dev/null

　　假如你看到的是第二种，就表明这个.bash_history文件已经被重定向到/dev/null。这是一个致命的信息，现在就立即把你的机器从Internet上断掉，尽可能备份你的数据，并且开始重新安装系统。

　　寻找未知的用户账号

　　在你打算对你的Linux机器做一次检测的时候，首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux机器时，敲入以下的命令：

　　grep：x：0：/etc/passwd

　　只有一行，我再强调一遍，在一个标准的Linux安装里，grep命令应该只返回一行，类似以下：

　　root：x：0：0：root：/root：/bin/bash

　　假如在敲入之前的grep命令后你的系统返回的结果不止一行，那可能就有问题了。应该只有一个用户的UID为0，而如果grep命令的返回结果超过一行，那就表示不止一个用户。

　　认真来说，虽然对于发现黑客行为，以上都是一些很好的基本方法。但这些技巧本身并不能构成足够的安全性，而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远。

    知识链接:

　　俗称“脚本小子”的家伙是属于那种很糟糕的黑客，因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说，如果你安装了所有正确的补丁，拥有经过测试的防火墙，并且在多个级别都激活了先进的入侵检测系统，那么只有在一种情况下你才会被黑，那就是，你太懒了以至没去做该做的事情，例如，安装BIND的最新补丁。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点