linux 应急响应工具整理列表

linux 应急响应工具整理列表

文件

ls  列举文件   
-a   显示所有档案及目录（ls默认将文件或者目录名称为“.”的视为隐藏文件或目录，不会列出）；
-l   以长格式显示目录下的内容列表。输出的信息从左到右依次包括文件名，文件类型、权限模式、硬连接数、所有者、组、文件大小和文件的最后修改时间等；
-t   用文件和目录的更改时间排序；

file 查看文件类型  file /etc/init.d/network
stat 查看文件时间  stat /etc/init.d/network  
md5sum 文件名  
sha*  文件名  

lsof abc.txt 显示开启文件abc.txt的进程
lsof 目录名 查找谁在使用文件目录系统   
lsof +D /tmp   某个目录下被打开的文件    

du -h --max-depth=2  /home  # 判断文件夹下总大小  

进程

ps -aux  查看进程信息  
ps -ef  可以查看父进程 
ls -alt /proc/pid,  exe -> XXX 对应的即为文件位置   
top  查看进程信息，挖矿木马 应该很容易识别出来   
pstree -ps 32638  # 查看父进程  

查看隐藏进程 ?

ps -ef | awk '{print $2}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2   

strace -f -p pid   # 跟踪进程行为 
lsof -c abc 显示abc进程现在打开的文件   
lsof -p 12 看进程号为12的进程打开了哪些文件
lsof -p 123,456,789  列出多个进程号对应的文件信息
lsof -p ^1 列出除了某个进程号，其他进程号所打开的文件信息   
lsof -i -R   -R 显示父进程id    lsof -F?  #显示字段说明信息  
</