<>Linux应急响应

<>1.查看用户信息

* 查看特权用户 cat /etc/passwd # 查看用户信息文件 cat /etc/shadow # 查看影子文件 awk -F: '$3
==0{print$1}' /etc/passwd cat /etc/passwd | grep x:0 #
查看系统是否还存在其他的特权账户,uid为0,默认系统只存在root一个特权账户

* 查看当前登录用户,以及其登录ip。pts代表远程登录,tty代表本地登陆。 who

* 查看目前登入系统的用户,以及他们正在执行的程序。 w

* 查看现在的时间、系统开机时长、目前多少用户登录,系统在过去的1分钟、5分钟和15分钟内的平均负载。 uptime

* 查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。 stat /etc/passwd

* 查看除了不可登录以外的用户都有哪些,有没有新增的 cat /etc/passwd | grep -v nologin

* 查看能用bash shell登录的用户。 cat /etc/passwd | grep /bin/bash

<>2. 历史命令

很多的服务器会有存在多用户登陆情况,登陆root用户可查看其他用户的相关账户登录信息,.bash_history保存了用户的登陆所操作的命令信息。

* 查看历史命令 history

* 保存历史命令 cat .bash_history >>history.txt
<>3. 端口

* 查看端口开放和连接情况 netstat -pantu

* 如果发现可疑外联IP,即可根据对应PID查找其文件路径 ls -l /proc/pid/exe

<>4. 进程

* 查看进程 ps -aux

* 查看关联进程 ps -aux | grep pid

* 查看cpu占用率前十的进程 ps aux --sort=pcpu | head -10

<>5. 自启项

* 查看开机启动项 systemctl list-unit-files | grep enabled

<>6. 定时任务

* 查看定时任务 crontab -l

* 查看指定用户定时任务 crontab -u root -l # 查看root用户任务计划

<>7. 进程监控

* 进程动态监控,默认根据cpu的占用情况进行排序的,按b可根据内存使用情况排序。 top

* 监控指定程序 top -p pid

* 静态监控 ps -ef

<>8. host文件

* 查看host文件是否被篡改 cat /etc/hosts

<>9. 登录日志

* 统计爆破主机root账号的失败次数及ip: grep "Failed password for root" /var/log/secure | awk
'{print$11}' | sort | uniq -c | sort -nr | more

* 查看成功登录的日期、用户名、IP: grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9
,$11}'

<>10. 命令状态

* 查看命名修改时间,防止被替换 stat /bin/netstat

技术
今日推荐
下载桌面版
GitHub
百度网盘(提取码:draw)
Gitee
云服务器优惠
阿里云优惠券
腾讯云优惠券
华为云优惠券
站点信息
问题反馈
邮箱:[email protected]
QQ群:766591547
关注微信