Linux应急响应

Posted 2022-09-17 已注销

目录

​​1.操作系统信息​​

​​2.登录排查​​

​​3.启动项排查​​

​​4.进程排查​​

​​5.计划任务​​

​​6.日志​​

​​7.文件排查​​

---

1.操作系统信息

1. uname -a 查看操作系统信息、内核版本
2. cat /proc/version
3. lsb_release -a（需要安装lsb：yum install lsb）:可以用来获取发行版本的信息
4. 枚举主机的所有服务：service --status -all
5. 查看历史命令：history或cat ~/.bash_history
6. 查看主机的驱动程序：lsmod
7. 查看是否添加了ssh私钥：ll ~/.ssh  ##此处是两个L

2.登录排查

1. 查看当前登录的用户：who
2. 查看上次登录成功的用户：last
3. 查看最近登录失败的用户：lastb
4. 产看所有用户最近登陆的时间：lastlog
5. 查看用户信息：cat /etc/passwd，注意查看可登录shell的用户，shell为/bin/bash
6. 检测Uid=0的用户（超级用户，拥有root权限）：awk -F:$3==0print $1 /etc/passwd
7. 检测空口令用户：在日志文件夹下执行cat secure* | grep none | grep test，如果有空口令用户登录，那么执行结果中会有accepted onoe字样
8. /etc/sudoers文件是sudo的配置文件，当用户执行sudo命令时，系统会寻找sudoers文件，判断用户是否有执行sudo的权限，如果发现配置文件中有root权限相同的其他用户，编辑此配置文件，将用户删除

3.启动项排查

1. 列出所有的开机启动项：chkconfig --list
2. 开机自启检查项：/etc/rc.d（存在的是各个级别的启动脚本） /etc/init.d /etc/profile.d（linux环境变量）

4.进程排查

1. ps-e（显示所有进程）、ps-f（全格式）、ps-h（不显示标题）、ps-a（显示所有进程，包括其他用户的进程）、ps-x（显示所有进程）、ps-u（以用户为主的格式显示程序）

ps-ef

UID 用户id

PID 进程id

PPID 父进程id

C CPU占用率

STIME 喀什时间

TTY 开始此进程的终端设备

TIME 进程运行的总时间

CMD 命令名

ps-aux

%cpu 进程占用的cpu百分比

%mem 进程占用的内存百分比

vsz 进程使用的虚拟内存量

rss 进程使用的固定内存量

1. top（动态查看进程）
2. pstree（树形结构显示进程）
3. kill -9[进程id] 杀死进程
4. 查看进程运行路径 ll/proc/[进程id]
5. ps -p [pid] -o lstart 查看进程开放时间
6. pstree -h [pid] -p -a 查看某个进程的进程数
7. 查看开放的端口：netstat -antpl，通过端口判断进行排查，排查有没有一场端口正在进行网络连接（看state状态）
8. 查看进行的网络连接：lsof -i
9. 查看进程打卡的文件：lsof -p [pid] lsof -c [进程名]
10. 查看端口对应的进程：fuser -n tcp [端口号]

5.计划任务

1. crontab -l 查看计划任务
2. crontab -r 删除计划任务
3. /var/log/cron 查看计划任务日志
4. 查看隐藏计划任务：crontab -e或cat -A /var/spool/cron/root

6.日志

1. /var/log/cron计划任务
2. /var/log/lastlog登陆的用户
3. massage系统信息
4. secure记录用户输入的账号密码
5. wtmp登录成功的用户信息
6. faillog登陆失败的的用户信息

7.文件排查

1. 查看tmp目录下的文件/tmp /var/tmp
2. ls-alt | head -n 10 按时间顺序排列
3. stat * 查看文件的时间戳
4. find /-perm 777|more
5. find /var/log -type f -mtime + 7|xargs ls

免责声明：全网优质文章转载，以作为收藏留档之用，文章均不代表本人立场！
请尊重原创作者，如需转载请标注原创作者链接