linux应急响应常用命令和思路

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux应急响应常用命令和思路相关的知识,希望对你有一定的参考价值。

1、首先查看网络连接情况:

1 #netstat -anop | grep "ssh" /*查看ssh连接或者telent*/
2 #netstat -anop | grep "a.b.c.d" /*查看连接的IP*/
3 #ps aux /*查看可以进程*/ 
4 /*
5 可以结合起来,因为netstat -anop里面有pid
6 */

由上面确认是否攻击者仍在连接。如果连接,建议关闭网络或直接下线脱机应急。

2、查看history

1 #history /*查看历史命令*/=》即使攻击者敲击了unset history 也至少会被记录这一条

如果觉得history历史记录太少请查看历史命令文件:

1 #vim ~/.bash_history

3、查看用户:

1 #who        /*查看登录情况*/
2 #whoami   /*查看自己是谁*/
3 #vim /etc/passwd
4 #vim /etc/shadow

4、查看最近被改过的文件:

1 #find /path/ -mtime -1 -type f -print
2 #find /path/ -ctime -1 -type f -print
3 #ls -alt

5、查看所有脚本文件打包:

1 find /var/www/html/  |grep -E ".asp$|.aspx$|.jsp$|.jspx$|.jspf$|.php$|.php3$|.php4$|.php5$|.inc$|.phtml$|.jar$|.war$|.pl$|.py$|.cer$|.asa$|.cdx$|.ashx$|.ascx$|.cfm$|.cgi$ "|xargs tar zcvf /tmp/shellscript.tar.gz

6、查看web日志:

1 /*access_log:/var/log/httpd/access_log*/
2 #cat access_log | awk {print $1}|sort|uniq -c  查看访问的ip
3 #cat access_log | awk {print $1}|sort|uniq -c| sort -n -t   按访问次数排序
4 #find ./ -name "*.php" |grep 404|xargs ls -la//(xargs)把前面的结果传到后面作为输入 
5 /*awk指定符号切:-F ‘切割符号‘
6 #find /var/www/html/ -name "*.php" |xargs grep chenran 查看文件里面的内容

 

以上是关于linux应急响应常用命令和思路的主要内容,如果未能解决你的问题,请参考以下文章

HW防守 | Linux应急响应基础

应急响应排查思路

linux应急响应常用命令

记一些linux安全应急排查思路和命令

Windows和Linux网络威胁入侵的应急响应思路和方法

应急响应之Linux日志分析