通过ps -aux或ps -ef 查看进程文件路径、pid号,一般能比较清晰的看出bash反弹shell
在Linux应急过程中查看/ect/passwd中的用户,若发现异常的UID和GID为0的用户,则可以判断该服务器可能遭受到提权攻击
Linux的ssh登录日志会存储于/var/log/messages中,若日志中出现连续大量的登录失败错误信息,则可能意味着攻击者在尝试破解ssh登录口令
黑客控制服务器之后会使用history -c清理相关的日志,在应急响应过程中可以使用cat ~/.bash_history恢复相关的记录