linux应急响应常用命令和思路

Posted 2020-10-17

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了linux应急响应常用命令和思路相关的知识，希望对你有一定的参考价值。

1、首先查看网络连接情况：

1 #netstat -anop | grep "ssh" /*查看ssh连接或者telent*/
2 #netstat -anop | grep "a.b.c.d" /*查看连接的IP*/
3 #ps aux /*查看可以进程*/ 
4 /*
5 可以结合起来，因为netstat -anop里面有pid
6 */

由上面确认是否攻击者仍在连接。如果连接，建议关闭网络或直接下线脱机应急。

2、查看history

1 #history /*查看历史命令*/=》即使攻击者敲击了unset history 也至少会被记录这一条

如果觉得history历史记录太少请查看历史命令文件：

1 #vim ~/.bash_history

3、查看用户：

1 #who        /*查看登录情况*/
2 #whoami   /*查看自己是谁*/
3 #vim /etc/passwd
4 #vim /etc/shadow

4、查看最近被改过的文件：

1 #find /path/ -mtime -1 -type f -print
2 #find /path/ -ctime -1 -type f -print
3 #ls -alt

5、查看所有脚本文件打包：

1 find /var/www/html/  |grep -E ".asp$|.aspx$|.jsp$|.jspx$|.jspf$|.php$|.php3$|.php4$|.php5$|.inc$|.phtml$|.jar$|.war$|.pl$|.py$|.cer$|.asa$|.cdx$|.ashx$|.ascx$|.cfm$|.cgi$ "|xargs tar zcvf /tmp/shellscript.tar.gz

6、查看web日志：

1 /*access_log:/var/log/httpd/access_log*/
2 #cat access_log | awk ‘{print $1}‘|sort|uniq -c  查看访问的ip
3 #cat access_log | awk ‘{print $1}‘|sort|uniq -c| sort -n -t ‘ ‘ 按访问次数排序
4 #find ./ -name "*.php" |grep 404|xargs ls -la//（xargs）把前面的结果传到后面作为输入 
5 /*awk指定符号切：-F ‘切割符号‘
6 #find /var/www/html/ -name "*.php" |xargs grep chenran 查看文件里面的内容

以上是关于linux应急响应常用命令和思路的主要内容，如果未能解决你的问题，请参考以下文章

Windows和Linux网络威胁入侵的应急响应思路和方法

应急响应之Linux日志分析