本文总结了Linux应急响应中的一些常用命令,包括查看历史记录、文件改动、账号安全、域名hosts检查、日志分析等。同时,介绍了如何检查被替换的系统命令,以及使用工具如rookithunter进行木马检测和webshell查杀。此外,提供了相关日志分析资源和渗透测试学习资料。
常用命令
top # 命令可以直接看到进程实时情况。
ps aux --sort=pcpu | head -10 # 查看cpu占用率前十的进程,有时候可以发现top发现不了的东西
netstat -anpl # 检查当前存在的连接与监听端口
ps -ef #查看当前系统上运行的所有进程与其使用的命令
w # 查看活动用户
who # 查看当前登录用户(tty 本地登陆 pts 远程登录) /var/log/utmp
last # 查看用户登录日志,查看我们系统的成功登录、关机、重启等情况 /var/log/wtmp
lastb # 查看登陆失败的用户日志 /var/log/btmp
lastlog # 查看所有用户登陆日志 /var/log/lastlog
lsof -i :3306 # 查看谁在使用某个端口
lsof -nPi 查看内部对外的网络连接
Strace 集诊断、调试、统计一体的工具。 `strace -f -p pid` 查看进行的行为
busybox是应急常用的工具。 如果系统命令被替换了可以使用此命令来查看系统相关信息
查看History详细
设置history显示时间和用户名,更方便排查谁在什么时间执行了什么
export HISTTIMEFORMAT="%F %T `whoami` " #设置history显示时间和用户名
查看文件改动
检查最近创建的php、jsp文件和上传目录 例如要查找24小时内被修改的JSP文件:
find ./ -mtime 0 -name “*.php”
stat /etc/passwd #查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。
cat /etc/passwd | grep -v nologin #查看除了不可登录以外的用户都有哪些,有没有新增的
cat /etc/passwd | grep x:0 #查看哪些用户为root权限,有没有新增的
cat /etc/passwd | grep /bin/bash #查看哪些用户使用shell
与测试环境目录做对比
diff -r {生产dir} {测试dir}
账号
1、查询特权用户特权用户(uid 为0)
root@drunk:~# awk -F: '$3==0{print $1}' /etc/passwd
root
2、查询可以远程登录的帐号信息
roo
最低0.47元/天 解锁文章
扫一扫
1792
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
