Linux应急响应
Posted 已注销
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux应急响应相关的知识,希望对你有一定的参考价值。
目录
2.登录排查
4.进程排查
5.计划任务
6.日志
7.文件排查
1.操作系统信息
- uname -a 查看操作系统信息、内核版本
- cat /proc/version
- lsb_release -a(需要安装lsb:yum install lsb):可以用来获取发行版本的信息
- 枚举主机的所有服务:service --status -all
- 查看历史命令:history或cat ~/.bash_history
- 查看主机的驱动程序:lsmod
- 查看是否添加了ssh私钥:ll ~/.ssh ##此处是两个L
2.登录排查
- 查看当前登录的用户:who
- 查看上次登录成功的用户:last
- 查看最近登录失败的用户:lastb
- 产看所有用户最近登陆的时间:lastlog
- 查看用户信息:cat /etc/passwd,注意查看可登录shell的用户,shell为/bin/bash
- 检测Uid=0的用户(超级用户,拥有root权限):awk -F:$3==0print $1 /etc/passwd
- 检测空口令用户:在日志文件夹下执行cat secure* | grep none | grep test,如果有空口令用户登录,那么执行结果中会有accepted onoe字样
- /etc/sudoers文件是sudo的配置文件,当用户执行sudo命令时,系统会寻找sudoers文件,判断用户是否有执行sudo的权限,如果发现配置文件中有root权限相同的其他用户,编辑此配置文件,将用户删除
3.启动项排查
- 列出所有的开机启动项:chkconfig --list
- 开机自启检查项:/etc/rc.d(存在的是各个级别的启动脚本) /etc/init.d /etc/profile.d(linux环境变量)
4.进程排查
- ps-e(显示所有进程)、ps-f(全格式)、ps-h(不显示标题)、ps-a(显示所有进程,包括其他用户的进程)、ps-x(显示所有进程)、ps-u(以用户为主的格式显示程序)
ps-ef
UID 用户id
PID 进程id
PPID 父进程id
C CPU占用率
STIME 喀什时间
TTY 开始此进程的终端设备
TIME 进程运行的总时间
CMD 命令名
ps-aux
%cpu 进程占用的cpu百分比
%mem 进程占用的内存百分比
vsz 进程使用的虚拟内存量
rss 进程使用的固定内存量
- top(动态查看进程)
- pstree(树形结构显示进程)
- kill -9[进程id] 杀死进程
- 查看进程运行路径 ll/proc/[进程id]
- ps -p [pid] -o lstart 查看进程开放时间
- pstree -h [pid] -p -a 查看某个进程的进程数
- 查看开放的端口:netstat -antpl,通过端口判断进行排查,排查有没有一场端口正在进行网络连接(看state状态)
- 查看进行的网络连接:lsof -i
- 查看进程打卡的文件:lsof -p [pid] lsof -c [进程名]
- 查看端口对应的进程:fuser -n tcp [端口号]
5.计划任务
- crontab -l 查看计划任务
- crontab -r 删除计划任务
- /var/log/cron 查看计划任务日志
- 查看隐藏计划任务:crontab -e或cat -A /var/spool/cron/root
6.日志
- /var/log/cron计划任务
- /var/log/lastlog登陆的用户
- massage系统信息
- secure记录用户输入的账号密码
- wtmp登录成功的用户信息
- faillog登陆失败的的用户信息
7.文件排查
- 查看tmp目录下的文件/tmp /var/tmp
- ls-alt | head -n 10 按时间顺序排列
- stat * 查看文件的时间戳
- find /-perm 777|more
- find /var/log -type f -mtime + 7|xargs ls
免责声明:全网优质文章转载,以作为收藏留档之用,文章均不代表本人立场!
请尊重原创作者,如需转载请标注原创作者链接
以上是关于Linux应急响应的主要内容,如果未能解决你的问题,请参考以下文章