awk -F: '$3==0 {print $1}' /etc/passwd（查看是否存在特权用户）
awk -F: 'length($2)==0 {print $1}' /etc/shadow（查看是否存在空口令帐户）
lsof -p pid（察看该进程所打开端口和文件）
top ps等一起用，有时只用一个会不准
cat /etc/crontab
ls /etc/cron.*
cat /etc/rc.d/rc.local

yum install rkhunter -y
rkhunter -c   检测系统

1. MD5校验测试, 检测任何文件是否改动.
2. 检测rootkits使用的二进制和系统工具文件.
3. 检测特洛伊木马程序的特征码.
4. 检测大多常用程序的文件异常属性.
5. 执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台.
6. 扫描任何混杂模式下的接口和后门程序常用的端口.
7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 
我的系统被警告.
8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.

    完成上面检测后, 你的屏幕会显示扫描结果: 可能被感染的文件, 不正确的MD5校验文件和已被感染的应用程序.


    rkhunter是通过一个含有rootkit名字的数据库来检测系统的rootkits漏洞, 所以经常更新该数据库非常重要, 你可以通过下面命令来
    更新该数据库:

# rkhunter --update

当然最好是通过cron job定期执行上面的命令, 你需要用root用户添加下面命令到crontab文件:

59 23 1 * * echo “Rkhunter update check in progress”;/usr/local/bin/rkhunter --update