Web安全1 4 溯源部分Linux命令

說明：本實驗環境採用的linux為redhat版本，但有些命令並不是此版本的，只要了解思路即可。

溯源直接可以翻譯為尋找上游，我們可以理解為尋求根源。

由於這裡說的是網路安全，因此我們可以這樣來理解，比如一台伺服器被黑客進行了入侵，這台伺服器就有可能被黑客作為跳板，進而去入侵其他伺服器，同理讓更多的伺服器淪為肉雞，成為挖礦機器。因此我們需要根據日誌等黑客的入侵的蛛絲馬跡，一步一步去追查，去尋找攻擊的根源。

那麼，這裡以淪為挖礦的伺服器為例：當我們發現伺服器響應遲緩，變得與往常有些異常的時候，首先我們就懷疑伺服器被入侵了，假設用來挖礦了。由於伺服器遲緩，那麼我們可以檢視當前系統的程序執行狀況是怎樣的，最直觀的就是cpu和記憶體了吧.

我們可以使用top命令來檢視一下cpu、記憶體的使用情況，尋找消耗資源的程序。

之後通過這個程序進一步檢視埠的連線資訊，使用netstat命令，從這個命令中我們就可以知道挖礦的pid、與外部連線的ip了，進而查詢程序檔案，通過日誌檔案查詢相應的痕跡。

總結一下溯源的過程，通過cpu佔用率分析埠，通過埠尋找程序和外聯ip，查詢入侵**。

以下是在命令列介面中直接輸入top後顯示的結果：

top顯示當前系統執行的程序，相當於windows下的任務管理器

c顯示程序的完整的命令列

p以 cpu 占用的方式進行排序

m以記憶體占用的方式進行排序

ctrl+c

退出（返回命令列模式）

檢視埠網路連線

-a顯示所有socket，包括正在監聽的

-n以網路ip位址代替名稱，顯示網路連線狀況

-p顯示建立相關連線的程式名和pid

-t顯示tcp協議的連線情況

-u顯示udp協議的連線情況

計畫任務目錄　/var/spool/cron

日誌目錄　　　/var/log

（1）ps命令：

ps檢視當前系統中的程序資訊，

a檢視其他使用者的程序

u顯示程序的使用者名稱和時間

x檢視自己的程序

（2）其他命令：

命令註解

ifconfig

檢視ip資訊

uname -a

檢視當前操作的linux核心

cat /etc/redhat-release

檢視發行版本

crontab

-l　列出系統的全部計畫任務（/var/spool/cron）

-e進入編輯任務計畫模式

vi ~/.bash_history

歷史命令操作歷史

cat /proc/pid

檢視程序檔案

find . -name 『*.txt』

查詢當前目錄中名字字尾為txt的檔案

（find命令用於查詢已知黑客入侵時間範圍內「變更的檔案」）

history

歷史命令資訊

lastlog

顯示最後登入資訊

last /var/log/wtmp

檢視歷史使用者登入資訊

cat /var/log/secure

檔案尋找可以ip登陸次數

cat /var/log/auth.log

系統登入日誌

tail -f auth.log

實時的輸出最新的日誌

（3）文字編輯命令：

命令後跟檔名

命令註解

cat顯示某個檔案的全部內容

head

預設輸出檔案頭部的10行內容（-n 指定數字）

tail

預設輸出檔案尾部10行的內容（-n 指定數字）

除此之外還有比較強大的vim命令，由於太多，這裡不再講解。

（4）通用命令：

命令註解

命令a ｜grep b

執行完命令a後，只顯示含有b的資訊

-u redhat

指定執行命令的使用者是redhat使用者

（5）雜項：

touch ：建立乙個文字檔案（-t指定生成檔案的時間）

touch -t 201904140000 t_start

touch -t 201904150000 t_end

find . -type f -newer t_start ! -newer t_end

查詢乙個比t_start 新比 t_end 舊的檔案 /tmp

Web安全1 4 溯源部分Linux命令

白帽子講Web安全（第 14 章 PHP 安全）

Linux系統Web應用安全加固

Linux系統Web應用安全加固

Web安全1 4 溯源 部分Linux命令

白帽子講Web安全（第 14 章 PHP 安全）

Linux系統Web應用安全加固

Linux系統Web應用安全加固

相關推薦

Web安全1 4 溯源部分Linux命令