linux应急响应

1. 查看用户信息

1.1. 查看特权用户

cat /etc/passwd

# 查看用户信息文件

cat /etc/shadow

# 查看影子文件

awk -F: ‘$3==0{print $1}’ /etc/passwd

cat /etc/passwd | grep x:0

# 查看系统是否还存在其他的特权账户，uid为0，默认系统只存在root一个特权账户

1.2. 查看当前登录用户，以及其登录ip。pts代表远程登录，tty代表本地登陆。

who

1.3. 查看目前登录系统的用户，以及他们正在执行的程序

w

1.4. 查看现在的时间、系统开机时长、目前多少用户登录，系统在过去的1分钟、5分钟和15分钟内的平均负载。

update

1.5. 查看密码文件上一次修改的时间，如果最近被修改过，那就可能存在问题。

stat /etc/passwd

1.6. 查看除了不可登录以外的用户都有哪些，有没有新增的

cat /etc/passwd | grep -v nologin

1.7. 查看能用bash shell登录的用户

cat /etc/passwd | grep /bin/bash

2. 查看历史命令

登陆root用户可查看其他用户的相关账户登录信息，.bash_history保存了用户的登陆所操作的命令信息。

2.1. 查看历史命令

history

2.2. 保存历史命令

cat .bash_history >>history.txt

3. 检查端口

3.1. 查看端口开放和连接情况

netstat -pantu

3.2. 如果发现可疑外联IP，即可根据对应PID查找其文件路径

ls -l /proc/pid/exe

4. 检查进程

4.1. 查看进程

ps -aux

4.2. 查看关联进程

ps -aux | grep pid

4.3. 查看cpu占用率前十的进程

ps aux –sort=pcpu | head -10

5. 检查开机自启项目

5.1. 查看开机自启项目

systemctl list-unit-files | grep enabled

6. 查看定时任务

6.1. 查看定时任务

crontab -l

6.2. 查看指定用户定时任务

crontab -u root -l

# 查看root用户任务计划

7. 进程监控

7.1. 进程动态监控，默认根据cpu的占用情况进行排序的，按b可根据内存使用情况排序。

top

7.2. 监控指定程序

top -p pid

7.3. 静态监控

ps -ef

8. host文件

8.1. 查看host文件是否被篡改

cat /etc/hosts

9. 登录日志

9.1. 统计爆破主机root账号的失败次数及ip

grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

9.2. 查看成功登录的日期、用户名、IP：

grep “Accepted ” /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’

10. 文件修改时间

10.1. 查看命名修改时间，防止被篡改

stat /bin/netstat