不管在甲方/乙方,都不可避免的回遇見需要應急的情況,本文記錄了在網上找的一些常用命令,供自己平常查閱,主要從日誌分析、異常連線、異常程序以及歷史命令等幾方面來說,歡迎斧正。
1、除root之外,是否還有其它特權使用者(uid 為0)
awk -f: '$3==0' /etc/passwd
2、可以遠端登入的帳號資訊
awk '/\$1|\$6/' /etc/shadow
3、檢視誰有sudo授權執行許可權(許可權級別)
sudo -l
4、基礎資訊檢視
who 檢視當前登入使用者(tty本地登陸 pts遠端登入) w 檢視系統資訊,想知道某一時刻使用者的行為 uptime 檢視登陸多久、多少使用者,負載
1、root的歷史命令
history
2、歷史命令清除
history -c
但此命令並不會清除儲存在檔案中的記錄,因此需要手動刪除.bash_profile檔案中的記錄。
進入使用者目錄下
cat .bash_history >> history.txt
以下目錄是否存在惡意指令碼
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
1、netstat網路連線命令,檢視可疑連線
netstat -antlp|more
!net
lsof -i:80 檢視指定埠
netstat -anp|grep 158.x.x.x 從連線的ip來定位pid,如果是瞬時建立的才找不到
執行
ls -l /proc/$pid/exe 比如:ls -l /proc/25430/exe
file /proc/$pid/exe($pid 為對應的pid 號)比如:file /proc/24530/exe
ps aux | grep pid (pid表示要查詢的關鍵字)
1、檢視定時任務
crontab -l 表面上檢視定時任務
cat /etc/crontab 檢視定時任務的檔案裡面是否存在定時任務
ls -al /var/spool/cron/\*
cat /var/spool/cron/\* 檢視資料夾裡面是否有其他定時任務的檔案
ls -al /etc/cron.d/\*
for u in \`cat /etc/passwd |cut -d ":" -f1\`;do crontab -l -u $u; done
crontab -r 表面刪除定時任務
3、編輯定時任務
crontab -e
定時任務解讀:
前面5個星分別代表分-時-天-月-星期 後面跟命令
\* \* \* \* \* command
\*/15 \* \* \* \* command(表示每15分鐘執行一次)
kill pid
kill -9 pid 徹底殺死程序
kill -kill pid 強制殺死程序
ps -a 列出的是當前控制終端啟動的程序
ps -a 系統全部啟動程序
ps auxf 檢視父程序關聯的子程序
pstree 檢視程序樹
cat .ssh/authorized_keys 檢視命令
/root/.ssh/authorized_keys ssh秘鑰檔案所在路徑
windows應急響應入侵排查思路
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...
應急CC攻擊排查(Linux環境)
cc攻擊就是利用大量 伺服器對目標計算機發起大量連線,導致目標伺服器資源枯竭造成拒絕服務。那麼如何判斷查詢cc攻擊呢?本文主要介紹了一些linux下判斷cc攻擊的命令。檢視所有80埠的連線數 netstat nat grep i 80 wc l 對連線的ip按連線數量進行排序 netstat anp...
應急響應之window入侵排查
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...