linux应急排查

这篇具有很好参考价值的文章主要介绍了linux应急排查。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

常用命令

查看登录用户和活动

whoami:显示当前登录用户的用户名。

w:显示当前登录到系统上的用户列表和他们正在执行的命令。

last:显示最近登录到系统的用户列表、登录时间和来源IP地址。

ps aux:列出当前正在运行的所有进程,以及它们的详细信息。

网络连接和端口检查

netstat -tuln:列出所有当前监听的TCP和UDP连接以及对应的端口号。

lsof -i:显示当前打开的网络连接和相关进程的信息。

tcpdump:捕获网络流量进行分析,例如:tcpdump -i eth0 port 80 捕获进入网卡 eth0 的 HTTP 流量。

文件和目录检查

find /path/to/directory -name "filename":在指定目录中查找特定文件。

ls -al /path/to/directory:列出指定目录下的所有文件和目录,包括隐藏文件。

file /path/to/file:确定文件类型。

系统性能和资源监控

top:实时显示系统的进程和资源使用情况。

htop:交互式显示系统的进程和资源使用情况。

free -m:显示系统内存使用情况。

df -h:显示磁盘空间使用情况。

日志分析

tail -f /var/log/syslog:实时监视系统日志文件。

grep "keyword" /var/log/syslog:在系统日志中搜索包含关键字的行。

命令参数:

whoami - 显示当前登录用户的用户名。
参数:无。w 或者 who - 显示当前登录到系统上的用户列表,以及他们正在执行的命令。
参数:无。ps aux - 列出当前正在运行的所有进程。
参数:a:显示所有用户的进程,而不仅仅是当前用户。u:以用户为主要显示格式,显示详细的进程信息。netstat -tuln - 列出所有当前监听的网络连接和端口。
参数:t:仅显示TCP连接。u:仅显示UDP连接。l:仅显示监听状态的连接。n:以数字形式显示IP地址和端口号,而不进行反向解析。top 或者 htop - 显示当前系统的实时性能信息。
参数:无。last 或者 lastlog - 显示最近登录到系统的用户列表。
参数:无。history - 显示当前用户执行过的命令历史记录。
参数:无。find 或者 locate - 在文件系统中搜索文件或目录。
参数:name:按文件名进行搜索。type:指定搜索的文件类型。user:指定所有者进行搜索。mtime:按照文件修改时间进行搜索。lsof - 列出当前打开的文件和网络连接。
参数:i:显示互联网相关的文件。p:显示指定进程打开的文件。u:显示指定用户打开的文件。ifconfig 或者 ip addr - 显示网络接口的配置信息。
参数:无。chkrootkit 或者 rkhunter - 用于检测常见的Rootkit和后门程序。
参数:无。tcpdump 或者 Wireshark - 抓取和分析网络流量。
参数:根据具体需求来使用。这些工具有丰富的参数选项来过滤和分析网络数据包。iptables 或者 firewalld - 配置和管理防火墙规则。
参数:根据具体需求来使用。这些工具有不同的参数选项来添加、删除或修改防火墙规则。journalctl - 查看系统日志。
参数:-u <unit>:仅显示指定单位的日志。-p <priority>:仅显示指定优先级的日志。md5sum 或者 sha1sum - 计算文件的哈希值。
参数:无。

webshell 查杀

linux 版:

河马 webshell 查杀:

http://www.shellpub.com

深信服 Webshell 网站后门检测工具:

http://edr.sangfor.com.cn/backdoor_detection.html

Rootkit 查杀

chkrootkit :

http://www.chkrootkit.org 

使用方法:

wgetftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcdchkrootkit-0.52makesense#编译完成没有报错的话执行检查./chkrootkit

rkhunter

http://rkhunter.sourceforge.net

使用方法:

​​​​​​​

Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gztar -zxvfrkhunter-1.4.4.tar.gzcdrkhunter-1.4.4./installer.sh --installrkhunter -c

入侵排查

1、查询特权用户 (uid  0)

[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

[root@localhost ~]# awk '/$1|$6/{print $1}' /etc/shadow

3、除root 帐号外,其他帐号是否存在 sudo 权限。如非管理需要,普通帐号应删除 sudo 权限

[root@localhost ~]# more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号

usermod -L user    禁用帐号,帐号无法登录,/etc/shadow第二栏为 ! 开头userdel user       删除user 用户userdel -r user    将删除user用户,并且将/home目录下的user目录一并删除

通过 .bash_history 查看帐号执行过的系统命令

5root的历史命令

histroy

6、打开/home 各帐号目录下的 .bash_history,查看普通帐号的历史命令

为历史的命令增加登录的IP地址、执行命令时间等信息

7、端口

使用 netstat 网络连接命令,分析可疑端口、IP、PID

netstat -antlp|more

查看下pid所对应的进程文件路径,

运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID为对应的 pid 号)

8、进程

使用 ps 命令,分析进程文章来源地址https://www.toymoban.com/news/detail-725785.html

ps aux | grep pid

到了这里,关于linux应急排查的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 应急响应:系统入侵排查指南

    目录 系统基本信息排查 Windows系统排查 Linux系统排查 CPU信息 操作系统信息 载入模块排查 用户排查 Windows系统用户排查 排查所有账户 Linux用户排查 root账户排查 查看所有可登录账户   查看用户错误的登录信息 查看所有用户最后登录信息 排查空口令账户 启动项排查 Windows系

    2024年02月09日
    浏览(55)
  • Windows应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月20日
    浏览(42)
  • 应急响应排查思路(Windows篇)

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月19日
    浏览(39)
  • 【安全服务】应急响应1:流程、排查与分析

    目录 一、应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二、系统排查 1、系统信息 2、用户信息 3 启动项 4 任务计划 5 其他:Windows防火墙规则  三、进程排查 1 windows 1.1 任务管理器 1.2 cmd tasklist 1.3 查看正在进行网络连接的进

    2024年02月08日
    浏览(38)
  • 应急响应-web后门(中间件)的排查思路

    语言,数据库,中间件,系统环境等 1.利用时间节点筛选日志行为 2.利用已知的漏洞在日志进行特征搜索,快速定位到目标ip等信息 3.后门查杀,获取后门信息,进一步定位目标信息 iis .net分析:网站被入侵,给出来被入侵时间 iis日志地址:inetput/logs/LogFiles/W3VC5(确认对网站的

    2024年02月14日
    浏览(39)
  • 服务器病毒木马通用排查处理应急响应流程

    目录 一、勒索病毒发作的特征    二、勒索病毒的应急响应   三、勒索病毒预防与事后加固   如果发现大量统一后缀的文件;发现勒索信在Linux/home、/usr等目录,在Windows   桌面或者是被加密文件的文件夹下。如果存在以上特征情况,证明感染了勒索病毒并且已经发作。

    2024年04月22日
    浏览(40)
  • 运维圣经:Webshell应急响应指南

    目录 Webshell简介 Webshell检测手段 Webshell应急响应指南 一. Webshell排查 二. 确定入侵时间 三. Web日志分析 四. 漏洞分析 五. 漏洞复现 六. 清除Webshell并修复漏洞 七. Webshell防御方法 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作

    2024年02月09日
    浏览(36)
  • 运维圣经:DDos攻击应急响应指南

    目录 DDos攻击简介 DDos攻击应急响应指南 一. 问题排查 二. 临时处置 三. 研判溯源 四. 清楚加固 分布式拒绝服务是种基于DoS的特殊形式的拒绝服务攻击,是一种分布、 协作的大规模攻击方式,主要瞄准比较大的站点,像商业公司、搜索引擎或政府部门门的站点。DoS攻击只要一

    2024年02月08日
    浏览(40)
  • Windows应急响应 -Windows日志排查,系统日志,Web应用日志,

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 Windows系统日志存放在 C:WindowsSystem32winevtLogs 目录下,使用系统自带的【事件查看器】来查看 WIN + R,输

    2023年04月09日
    浏览(49)
  • 【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析

    应急响应: 1、抗拒绝服务攻击防范应对指南 2、勒索软件防范应对指南 3、钓鱼邮件攻击防范应对指南 4、网页篡改与后门攻击防范应对指南 5、网络安全漏洞防范应对指南 6、大规模数据泄露防范应对指南 7、僵尸网络感染防范应对指南 8、APT攻击入侵防范应对指南 9、各种辅

    2024年01月20日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包