linux应急响应
1. 查看用户信息
1.1. 查看特权用户
cat /etc/passwd
# 查看用户信息文件
cat /etc/shadow
# 查看影子文件
awk -F: ‘$3==0{print $1}’ /etc/passwd
cat /etc/passwd | grep x:0
# 查看系统是否还存在其他的特权账户,uid为0,默认系统只存在root一个特权账户
1.2. 查看当前登录用户,以及其登录ip。pts代表远程登录,tty代表本地登陆。
who
1.3. 查看目前登录系统的用户,以及他们正在执行的程序
w
1.4. 查看现在的时间、系统开机时长、目前多少用户登录,系统在过去的1分钟、5分钟和15分钟内的平均负载。
update
1.5. 查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。
stat /etc/passwd
1.6. 查看除了不可登录以外的用户都有哪些,有没有新增的
cat /etc/passwd | grep -v nologin
1.7. 查看能用bash shell登录的用户
cat /etc/passwd | grep /bin/bash
2. 查看历史命令
登陆root用户可查看其他用户的相关账户登录信息,.bash_history保存了用户的登陆所操作的命令信息。
2.1. 查看历史命令
history
2.2. 保存历史命令
cat .bash_history >>history.txt
3. 检查端口
3.1. 查看端口开放和连接情况
netstat -pantu
3.2. 如果发现可疑外联IP,即可根据对应PID查找其文件路径
ls -l /proc/pid/exe
4. 检查进程
4.1. 查看进程
ps -aux
4.2. 查看关联进程
ps -aux | grep pid
4.3. 查看cpu占用率前十的进程
ps aux –sort=pcpu | head -10
5. 检查开机自启项目
5.1. 查看开机自启项目
systemctl list-unit-files | grep enabled
6. 查看定时任务
6.1. 查看定时任务
crontab -l
6.2. 查看指定用户定时任务
crontab -u root -l
# 查看root用户任务计划
7. 进程监控
7.1. 进程动态监控,默认根据cpu的占用情况进行排序的,按b可根据内存使用情况排序。
top
7.2. 监控指定程序
top -p pid
7.3. 静态监控
ps -ef
8. host文件
8.1. 查看host文件是否被篡改
cat /etc/hosts
9. 登录日志
9.1. 统计爆破主机root账号的失败次数及ip
grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
9.2. 查看成功登录的日期、用户名、IP:
grep “Accepted ” /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’
10. 文件修改时间
10.1. 查看命名修改时间,防止被篡改
stat /bin/netstat