<>Linux应急响应
<>1.查看用户信息
* 查看特权用户 cat /etc/passwd # 查看用户信息文件 cat /etc/shadow # 查看影子文件 awk -F: '$3
==0{print$1}' /etc/passwd cat /etc/passwd | grep x:0 #
查看系统是否还存在其他的特权账户,uid为0,默认系统只存在root一个特权账户
* 查看当前登录用户,以及其登录ip。pts代表远程登录,tty代表本地登陆。 who
* 查看目前登入系统的用户,以及他们正在执行的程序。 w
* 查看现在的时间、系统开机时长、目前多少用户登录,系统在过去的1分钟、5分钟和15分钟内的平均负载。 uptime
* 查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。 stat /etc/passwd
* 查看除了不可登录以外的用户都有哪些,有没有新增的 cat /etc/passwd | grep -v nologin
* 查看能用bash shell登录的用户。 cat /etc/passwd | grep /bin/bash
<>2. 历史命令
很多的服务器会有存在多用户登陆情况,登陆root用户可查看其他用户的相关账户登录信息,.bash_history保存了用户的登陆所操作的命令信息。
* 查看历史命令 history
* 保存历史命令 cat .bash_history >>history.txt
<>3. 端口
* 查看端口开放和连接情况 netstat -pantu
* 如果发现可疑外联IP,即可根据对应PID查找其文件路径 ls -l /proc/pid/exe
<>4. 进程
* 查看进程 ps -aux
* 查看关联进程 ps -aux | grep pid
* 查看cpu占用率前十的进程 ps aux --sort=pcpu | head -10
<>5. 自启项
* 查看开机启动项 systemctl list-unit-files | grep enabled
<>6. 定时任务
* 查看定时任务 crontab -l
* 查看指定用户定时任务 crontab -u root -l # 查看root用户任务计划
<>7. 进程监控
* 进程动态监控,默认根据cpu的占用情况进行排序的,按b可根据内存使用情况排序。 top
* 监控指定程序 top -p pid
* 静态监控 ps -ef
<>8. host文件
* 查看host文件是否被篡改 cat /etc/hosts
<>9. 登录日志
* 统计爆破主机root账号的失败次数及ip: grep "Failed password for root" /var/log/secure | awk
'{print$11}' | sort | uniq -c | sort -nr | more
* 查看成功登录的日期、用户名、IP: grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9
,$11}'
<>10. 命令状态
* 查看命名修改时间,防止被替换 stat /bin/netstat