基本信息
查看CPU信息
lscpu
![](https://img-blog.csdnimg.cn/direct/beecab22fb46455e8fda4a70352e421d.png)
查看当前操作系统信息
uname -a
![](https://img-blog.csdnimg.cn/direct/4d4893d6792946079c209b08a9663c31.png)
查看所有载入系统的模块信息
lsmod
![](https://img-blog.csdnimg.cn/direct/667d56d15c314ec0abdd85f60e6172d1.png)
分析超级权限账户:查询可登录账户UID为0的账户,root是UID为0
的可登录账户,如果出现其它为0的账户,就要重点排查:
awk -F: '{if($3==0)print $1}' /etc/passwd
![](https://img-blog.csdnimg.cn/direct/4c02a8227ca24b7386a9870ff3ba3403.png)
用户信息
查看所有用户信息
cat /etc/passwd
nologin表示状态不可登录
bin/表示账户可登录
![](https://img-blog.csdnimg.cn/direct/630eccb695714ab680a67be6c1a263e0.png)
查看当前用户登录系统情况
![](https://img-blog.csdnimg.cn/direct/637d4546a2b04777912c592453c8b152.png)
查看用户最近登录信息
![](https://img-blog.csdnimg.cn/direct/3321819f8f8e4e97a03b92880bd22399.png)
查看所有用户最后的登录时间
![](https://img-blog.csdnimg.cn/direct/f00230bac30e44458aa12eb3f5f6e659.png)
查看当前用户信息
![](https://img-blog.csdnimg.cn/direct/16e331b37cb94ee3b44816b14a0b88b4.png)
计划任务
crontab -l
crontab -u root -l
![](https://img-blog.csdnimg.cn/direct/c378ba5ea4344dceb88b49c38a757f3d.png)
查看进程
netstat -anptl
![](https://img-blog.csdnimg.cn/direct/ba59b5fe243041fbb4699ceb994cec9b.png)
redhat linux
chkconfig --list 查看系统运行服务
所有服务器状态
service --status-all
![](https://img-blog.csdnimg.cn/direct/49b8133d8d8f40ff97312b3c97df24d5.png)
敏感目录
/tmp 常作为恶意软件下载目录即相关文件被替换的目录
/etc/ssh 常作为一些后门配置的路径
![](https://img-blog.csdnimg.cn/direct/0a5b817b1627405791aa8ab081f66c0c.png)
![](https://img-blog.csdnimg.cn/direct/3000a2e775804a80b719ae07714625ee.png)
查看目录按照时间排序
![](https://img-blog.csdnimg.cn/direct/12b0c9ff93994fc2a477d051079eedcb.png)
特殊权限文件查找
![](https://img-blog.csdnimg.cn/direct/6130700a0bbe4fe3bdebf1372e850e37.png)
webshell查找:webshell排查可以通过文件、流量、日志分析,基于文件的命名特征和内容特征,相对操作性较高。
![](https://img-blog.csdnimg.cn/direct/93b03f3059e645fbb0177250ac06b82b.png)
日志分析
/var/log/wtmp:记录登录进入、退出、数据交换、关机和重
启,即last,是一个二进制文件,可以使用last查看
![](https://img-blog.csdnimg.cn/direct/c3ac01150dd546f2b43093b1c2cb005a.png)
常用排查命令
top 查看当前系统状态
![](https://img-blog.csdnimg.cn/direct/fa7b30ff40a2421a911f45f7e7f4a736.png)
操作系统信息
uname -a
![](https://img-blog.csdnimg.cn/direct/347c93098bab4087b6e0227928f7a3b4.png)
查看当前系统进程信息
ps
![](https://img-blog.csdnimg.cn/direct/93b68498d8c44edaa59df50f5c81c907.png)
查看历史命令
history
![](https://img-blog.csdnimg.cn/direct/ede79e8d61974d388d8c0c49a13db3b6.png)
列出本机所有的连接和监听的端口
netstat
![](https://img-blog.csdnimg.cn/direct/9fbef619cd8247b7af06578950f406b9.png)
查看当前用户登录系统情况
who
![](https://img-blog.csdnimg.cn/direct/e94663d8c4d844ee8f432d62c93227f0.png)
知道这一个的用户行为,查看系统信息
w
查看异常端口信息
netstat -antlp|more
![](https://img-blog.csdnimg.cn/direct/1d0873cf38f840fd9041bdffc52f1cbb.png)
杀死进程
kill
![](https://img-blog.csdnimg.cn/direct/d186a1478b5945aea37b18a00156858b.png)