如何检查服务器被黑了

http://serverfault.com/questions/2783/how-do-i-know-if-my-linux-server-has-been-hacked

• 保存一份系统关键文件的备份（例如ls, ps, netstat, md5sum等等）到其他地方，并且对他们进行md5sum计算，然后和现行版本定期比较。 Rootkits总是想要修改这些文件。如果被修改，用原始备份恢复。
• 使用aide和tripwire检查系统文件是否被修改 -- 当然要求他们的数据库不被篡改。
• 配置syslog并发送你的系统日志到一个远程日志服务器，这样日志就不能被删除或者篡改。查看远程日志中可疑的活动。
• 定期检阅你的日志，可以用logwatch或者logcheck来发现重要的线索。
• 熟悉你的服务器，知道你的服务器正常状态应该是什么样的。
• 检查 /etc/passwd ，看是否被改动。
• netstat 检查可疑端口。
• chkrootkit，tiger，rkhunter扫描rootkit是否被修改
• find /etc /var -mtime -2，检查过去两天内被修改的文件，看是否有可疑的内容
• rkhunter扫描系统

Keep a pristine copy of critical system files (such as ls, ps, netstat, md5sum) somewhere, with an md5sum of them, and compare them to the live versions regularly. Rootkits will invariably modify these files. Use these copies if you suspect the originals have been compromised.

aide or tripwire will tell you of any files that have been modified - assuming their databases have not been tampered with.

Configure syslog to send your logfiles to a remote log server where they can't be tampered with by an intruder. Watch these remote logfiles for suspicious activity

read your logs regularly - use logwatch or logcheck to synthesize the critical information.

Know your servers. Know what kinds of activities and logs are normal.

检查系统：

grep :x:0: /etc/passwd

只应该返回一行结果，类似下面：

root：x：0：0：root：/root：/bin/bash