Linux应急响应

1.排查账号

进行linux应急响应，首先你得优先查看是否多出来了管理员

（1）查询特权用户特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

（2）查询进行远程链接的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

（3）排查其余账号是否拥有sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

若你的账户出现了：

%admin ALL=(ALL) ALL

那就证明你的服务器开设了很大权限给别的用户，所有账户都有sudo的权限，那就必须尽快修改。

（4）删除可疑账号命令：

userdel user

 2.历史排查 

在linux应急响应中，如果你的服务器没有多出来的账户，那就再查看一手历史命令

# 清空历史命令并清空当前登录会话执行命令
echo > $home./bash_history

虽然大概率历史命令都会被黑客排查出来删除（上述），但是万一黑客没注意历史命令呢？

 查看历史命令：

history

保存历史命令：