首先展示关于Linux的关键目录,这是应急响应查看的关键:
常用命令
top //查看进程资源的占用情况
ps -aux //查看进程 直接写ps aux也可以
netstat -antpl //查看网络连接
ls -alh /proc/pid //查看某个pid对应的可执行程序 pid记得修改
lsof //开放端口的进程
lastb //显示错误的尝试登录信息
last //显示系统用户最近的登录信息
lastlog //所示所有的用户最近的登录信息
grep //查找符合条件的字符串 如netstat -antpl | grep 22
crontab -l 或 cat /etc/crontab //查看相应的定时任务
history 或 cat ~/.bash_history //查看历史命令
接下来学习到一些常见的应急工具需要学习使用:
chkrootkit //linux下检查RootKit的脚本
河马Webshell查杀工具
Web日志分析:
