檢視登入歷史記錄
last
aulast
檢視所有⽤戶的最後登入記錄
aulastlog
檢視命令歷史記錄
history
cat ~/.bash_history
檢視當前可登入的⽤戶列表
cat /etc/passwd|grep -v 「^\s*#」|grep -e -v
「/sbin/nologin|/bin/sync|/sbin/shutdown|/sbin/halt|/bin/false」|awk
-f 『:』 『』
檢視當前所有的定時任務
for u incat /etc/passwd|grep -v "^\s*#"|grep -e -v "/sbin/nologin|/bin/sync|/sbin/shutdown|/sbin/halt|/bin/false"|awk -f ':' ''
docrontab -u $u -l
done
檢視ssh爆破記錄(登入失敗與登入成功)
#統計出現多少次登陸失敗
cat /var/log/secure|grep " sshd"|grep 「failed password」|grep -e -o
「([^ ]+) from ([^ ]+) port」|awk 『』|sort -n|uniq -c|
sort -n -t 1 -r
#統計出現多少次登陸成功
cat /var/log/secure|grep 」 sshd「|grep 「accepted password」|grep -e
-o 「([^ ]+) from ([^ ]+) port」|awk 『』|sort -n|uniq -
c|sort -n -t 1 -r
檢視⾃動啟動配置
#備註:使⽤systemctl啟動的話,需要檢查rc-local服務是否啟⽤,如⽆啟⽤則⽆⾃動
啟動配置
systemctl status rc-local
cat /etc/rc.local
1檢視服務
chkconfig --list
systemctl list-unit-files|grep enabled
檢視程序
ps axjf
檢視登陸⽤戶列表
w登出⽤戶
pkill -kill -t
#例⼦:pkill -kill -t pts/0
檢視⽹絡連線
#tcp⽹絡連線
netstat -antlp
ss -atpnl
#udp⽹絡連線
netstat -anulp
ss -aupnl
檢視隱藏僅程序
str_pids="ps -a | awk ''";
for i in /proc/[[:digit:]]*;
doif echo 「str
pids
"∣gr
ep−q
s『ba
sena
me
"str_pids" | grep -qs `basename "
strpi
ds"∣
grep
−qs『
base
name
"i」`;
then
:else
echo 「rootkit』s pid: (ba
sena
me
"(basename "
(basen
ame"
i」)";
fidone
安裝程式歷史
cat /var/log/yum.log
2任務計畫歷史
cat /var/log/cron
啟動記錄
cat /var/log/boot.log
審計配置
auditctl -l
審計記錄(命令執⾏記錄)
cat /var/log/audit/audit.log|grep execve
#檢視所有關於root的審計記錄
ausearch -ui root
查詢特權⽂件
find -type f / -print|xargs ls -l|grep -e 「^-[r-][w-](s|[sx-][r-]
w-)」
linux應急響應
linux常用命令 常見日誌的位置以及分析方法 熟悉常規黑客的攻擊手法 常規安全事件的處置思路根目錄下所有.jsp字尾檔案 find name jsp最近3天修改過的檔案 find type f mtime 3最近3天建立的檔案 find type f ctime 3grep nv root etc...
Linux 應急響應基礎
0x01 技能樹 0x02 linux 常用命令 find name jsp find type f mtime 3 find type f ctime 3 grep nv root etc passwd grep nr root grep nr v 404 grep e jsp jspx more...
Linux應急響應基礎
伺服器被攻擊,或多或少都會有相對應的症狀,例如 挖礦病毒,cpu利用率公升高,記憶體佔用率增加,出現異常程序,伺服器響應速度變慢等等。根據病毒傳播傳播途徑,對系統進行加固,防止再次感染。通過.bash history檢視帳號執行過的系統命令 root的歷史命令 histroy 開啟 home各帳號目...