linux主机应急排查

Posted 2021-02-19 bingtang123

虚拟机测试如下

1.端口

sudo netstat -antlp|more

2.进程

ps aux | grep pid

3.查看内存和cpu

vmstat -a#查看内存和CPU使用情况

vmstat -s#查看内存和CPU使用详情

vmstat -d#查看读写IO情况

ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head # 查看CPU使用前十名

ps aux|head -1;ps aux|grep -v PID|sort -rn -k +4|head#查看内存使用前十名

4.进程关联账户信息

lsof

5.进程消耗

top    #查看进程性能资源消耗

6.定时任务

crontab -l 列出内容

crontab -r 删除所有的计划任务

crontab -e 使用编辑器编辑当前的crontab文件

7.日志

last#登录或重启日志

lastb#登录失败日志

lastlog #各个账户最后登录信息

who /var/log/wtmp    #登录日志

8.账户

cat /etc/passwd   账户

awk -F: ‘$3==0 {print $1}‘ /etc/passwd 查看特权账户

9.webshell检测

find /var/www/html/ -type f -name "*.jsp" | xargs grep "exec"

或者拷贝windows进行D盾检测

10.后门检测 rkhunter

tar -zxvf rkhunter-1.4.6.tar.gz

 

cd rkhunter-1.4.6

./installer.sh --layout default --install

 

 rkhunter -c