Linux应急响应

Posted 已注销

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux应急响应相关的知识,希望对你有一定的参考价值。

目录

​1.操作系统信息​

​2.登录排查​

​3.启动项排查​

​4.进程排查​

​5.计划任务​

​6.日志​

​7.文件排查​


1.操作系统信息

  1. uname -a 查看操作系统信息、内核版本
  2. cat /proc/version
  3. lsb_release -a(需要安装lsb:yum install lsb):可以用来获取发行版本的信息
  4. 枚举主机的所有服务:service --status -all
  5. 查看历史命令:history或cat ~/.bash_history
  6. 查看主机的驱动程序:lsmod
  7. 查看是否添加了ssh私钥:ll ~/.ssh  ##此处是两个L

2.登录排查

  1. 查看当前登录的用户:who
  2. 查看上次登录成功的用户:last
  3. 查看最近登录失败的用户:lastb
  4. 产看所有用户最近登陆的时间:lastlog
  5. 查看用户信息:cat /etc/passwd,注意查看可登录shell的用户,shell为/bin/bash
  6. 检测Uid=0的用户(超级用户,拥有root权限):awk -F:$3==0print $1 /etc/passwd
  7. 检测空口令用户:在日志文件夹下执行cat secure* | grep none | grep test,如果有空口令用户登录,那么执行结果中会有accepted onoe字样
  8. /etc/sudoers文件是sudo的配置文件,当用户执行sudo命令时,系统会寻找sudoers文件,判断用户是否有执行sudo的权限,如果发现配置文件中有root权限相同的其他用户,编辑此配置文件,将用户删除

3.启动项排查

  1. 列出所有的开机启动项:chkconfig --list
  2. 开机自启检查项:/etc/rc.d(存在的是各个级别的启动脚本) /etc/init.d /etc/profile.d(linux环境变量)

4.进程排查

  1. ps-e(显示所有进程)、ps-f(全格式)、ps-h(不显示标题)、ps-a(显示所有进程,包括其他用户的进程)、ps-x(显示所有进程)、ps-u(以用户为主的格式显示程序)

ps-ef

UID 用户id

PID 进程id

PPID 父进程id

C CPU占用率

STIME 喀什时间

TTY 开始此进程的终端设备

TIME 进程运行的总时间

CMD 命令名

ps-aux

%cpu 进程占用的cpu百分比

%mem 进程占用的内存百分比

vsz 进程使用的虚拟内存量

rss 进程使用的固定内存量

  1. top(动态查看进程)
  2. pstree(树形结构显示进程)
  3. kill -9[进程id] 杀死进程
  4. 查看进程运行路径 ll/proc/[进程id]
  5. ps -p [pid] -o lstart 查看进程开放时间
  6. pstree -h [pid] -p -a 查看某个进程的进程数
  7. 查看开放的端口:netstat -antpl,通过端口判断进行排查,排查有没有一场端口正在进行网络连接(看state状态)
  8. 查看进行的网络连接:lsof -i
  9. 查看进程打卡的文件:lsof -p [pid] lsof -c [进程名]
  10. 查看端口对应的进程:fuser -n tcp [端口号]

5.计划任务

  1. crontab -l 查看计划任务
  2. crontab -r 删除计划任务
  3. /var/log/cron 查看计划任务日志
  4. 查看隐藏计划任务:crontab -e或cat -A /var/spool/cron/root

6.日志

  1. /var/log/cron计划任务
  2. /var/log/lastlog登陆的用户
  3. massage系统信息
  4. secure记录用户输入的账号密码
  5. wtmp登录成功的用户信息
  6. faillog登陆失败的的用户信息

7.文件排查

  1. 查看tmp目录下的文件/tmp /var/tmp
  2. ls-alt | head -n 10 按时间顺序排列
  3. stat * 查看文件的时间戳
  4. find /-perm 777|more
  5. find /var/log -type f -mtime + 7|xargs ls



免责声明:全网优质文章转载,以作为收藏留档之用,文章均不代表本人立场!
请尊重原创作者,如需转载请标注原创作者链接



以上是关于Linux应急响应的主要内容,如果未能解决你的问题,请参考以下文章

Linux 应急响应:入侵排查就应该这么做

应急响应——Linux日志分析

应急响应——Linux日志分析

应急响应——Linux日志分析

应急响应排查思路

应急响应——Linux入侵排查