本文提供了一份Linux系统应急检测的命令清单,包括检查进程、目录、文件、用户和日志的方法。例如,使用`top`查看高CPU/RAM进程,通过`netstat`或`ss`检查网络端口,利用`find`查找SUID/SGID文件,检查`/etc/sudoers`文件安全,以及审计登录日志等。这些命令对于系统管理员在排查问题和确保系统安全方面非常实用。
目录
Linux应急检测命令备忘表,从进程、目录、文件、用户、日志进行查询搜索,仅供参考。
建议有些命令附带busybox 执行,最好方式还是查看特定文件而不单是执行命令 :)
Processes
查看占用大量CPU/RAM的进程
top
进程树
ps -auxwf
开放的网络端口
netstat -nalp
netstat -plant
ss -a -e -i
lsof [many opitons]
查找被删除但还在运行的程序
ls -alR /proc/*/exe 2> /dev/null |grep deleted
进程相关名称及命令
strings /proc/<PID>/comm
strings /proc/<PID>/cmdline
进程实际路径
ls -al /proc/<PID>/exe
进程执行时环境变量
strings /proc/<PID>/environ
查看所有进程执行目录
ls -alR /proc/*/cwd
查看在tmp dev 目录下执行的程序
ls -alR /proc/*/cwd 2> /dev/null | grep tmp
ls -alR /proc/*/cwd 2> /dev/null | grep dev
Directories
需要检查的目录
/tmp, /var/tmp, /dev/shm, /var/run,
/var/spool, user home directories
向目录追加 / 指示符
ls -alp
显示隐藏目录
find / -type -d -name ".*"
Files
查找设置属性为不可修改的文件
lsattr / -R 2> /dev/null | grep "\----i"
查找设置为SUID/SGUID的文件
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;
查找没有用户/组名称的文件
find / \( -nouser -o -nogroup \) -exec ls -lg {} \;
列出当前目录中的所有文件类型
file * -p
查找可执行文件
find / -type f -exec file -p '{}' \; | grep ELF
find /tmp -type f -exec file -p '{}' \; | grep ELF
最近一天有修改(modified/created)的文件
find / -mtime -1
可存放后门持久化的目录
/etc/rc.local, /etc/initd, /etc/rc*.d, /etc/modules, /etc/cron*, /var/spool/cron/*
查找已经修改的包文件
rpm -Va | grep ^..5.
debsums -c
Users
查找所有ssh公钥文件
find / -name authorized_keys
查找所有用户历史日志文件
find / -name .*history
查找历史日志文件重定向到/dev/null
ls -alR / 2> /dev/null | grep .*history | grep null
查看root用户/组
grep ":0:" /etc/passwd
检测sudoers 文件
cat /etc/sudoers
cat /etc/group
检查计划任务
crontab -l
atq
systemctl list-timers --all
Logs
查找大小为0的文件
ls -al /var/log/*
审计登录日志
utmpdump /var/log/wtmp
utmpdump /var/run/utmp
utmpdump /var/log/btmp
last
lastb
查找包含有二进制文件的日志
grep [[:cntrl:]] /var/log/*.log
Referer
Linux.Compromise.Detection.Command.Cheatsheet.pdf
感谢关注 :)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
