下面是一些個人的經(jīng)驗的總結(jié)，相信對于是否受到入侵的Unix或者Unix-cloneFreeBSD,OpenBSD，netbsd,Linux,etc)都是有用的： 
　　首先大家可以通過下面的系統(tǒng)命令和配置文件來跟蹤入侵者的來源路徑：
 
　　1.who------(查看誰登陸到系統(tǒng)中) 
　　2.w--------(查看誰登陸到系統(tǒng)中，且在做什么) 
　　3.last-----(顯示系統(tǒng)曾經(jīng)被登陸的用戶和TTYS） 
　　4.lastcomm-(顯示系統(tǒng)過去被運行的命令) 
　　5.netstat--(可以查看現(xiàn)在的網(wǎng)絡(luò)狀態(tài)，如telnet到你機器上來的用戶的IP地址,還有一些其它的網(wǎng)絡(luò)狀態(tài)。) 
　　6.查看router的信息。 
　　7./var/log/messages查看外部用戶的登陸狀況 
　　8.用finger 查看所有的登陸用戶。 
　　9.查看用戶目錄下/home/username下的登陸歷史文件(.history.rchist,etc).后注:‘who‘,‘w‘,‘last‘,和‘lastcomm‘這些命令依靠的是/var/log/pacct,/var/log/wtmp,/etc/utmp來報告信息給你。許多精明的系統(tǒng)管理員對于入侵者都會屏蔽這些日志信息(/var/log/*,/var/log/wtmp,etc)建議大家安裝tcp_wrapper非法登陸到你機器的所有連接) 

    接下來系統(tǒng)管理員要關(guān)閉所有可能的后門，一定要防止入侵者從外部訪問內(nèi)部網(wǎng)絡(luò)的可能。如果入侵者發(fā)現(xiàn)系統(tǒng)管理員發(fā)現(xiàn)他已經(jīng)進入系統(tǒng)，他可能會通過rm -rf /*試著隱蔽自己的痕跡. 

    第三，我們要保護下面的系統(tǒng)命令和系統(tǒng)配置文件以防止入侵者替換獲得修改系統(tǒng)的權(quán)利。 

　　1. /bin/login 
　　2. /usr/etc/in.*文件(例如:in.telnetd) 
　　3.inetd超級守護進程(監(jiān)聽端口，等待請求，派生相應(yīng)服務(wù)器進程)喚醒的服務(wù).(下列的服務(wù)器進程通常由inetd啟動: 
　　fingerd(79),ftpd(21), 
　　rlogind(klogin,eklogin,etc),rshd,talkd,telnetd(23),tftpd. inetd還可以啟動其它內(nèi)部服務(wù)， 
/etc/　inetd.conf中定義的服務(wù). 
　　4.不允非常ROOT用戶使用netstat,ps,ifconfig,su 

    第四，系統(tǒng)管理員要定期去觀察系統(tǒng)的變化（如：文件，系統(tǒng)時間，等） 

　　1. #ls -lac去查看文件真正的修改時間。 
　　2. #cmp file1 file2來比較文件大小的變化。 

    第五，我們一定要防止非法用戶使用suid(set-user-id)程序來得到ROOT 的權(quán)限。 

　　1.首先我們要發(fā)現(xiàn)系統(tǒng)中所有的SUID程序。