Linux入侵排查

基本信息

查看CPU信息

lscpu

查看当前操作系统信息

uname -a

查看所有载入系统的模块信息

lsmod

分析超级权限账户:查询可登录账户UID为0的账户,root是UID为0

的可登录账户,如果出现其它为0的账户,就要重点排查:
awk -F: '{if(3==0)print 1}' /etc/passwd

用户信息

查看所有用户信息

cat /etc/passwd

nologin表示状态不可登录

bin/表示账户可登录

查看当前用户登录系统情况

查看用户最近登录信息

查看所有用户最后的登录时间

查看当前用户信息

计划任务

crontab -l

crontab -u root -l

查看进程

netstat -anptl

redhat linux

chkconfig --list 查看系统运行服务

所有服务器状态

service --status-all

敏感目录

/tmp 常作为恶意软件下载目录即相关文件被替换的目录

/etc/ssh 常作为一些后门配置的路径

查看目录按照时间排序

特殊权限文件查找

webshell查找:webshell排查可以通过文件、流量、日志分析,基于文件的命名特征和内容特征,相对操作性较高。

日志分析

/var/log/wtmp:记录登录进入、退出、数据交换、关机和重

启,即last,是一个二进制文件,可以使用last查看

常用排查命令

top 查看当前系统状态

操作系统信息

uname -a

查看当前系统进程信息

ps

查看历史命令

history

列出本机所有的连接和监听的端口

netstat

查看当前用户登录系统情况

who

知道这一个的用户行为,查看系统信息

w

查看异常端口信息

netstat -antlp|more

杀死进程

kill

相关推荐
特种加菲猫1 小时前
硬件与软件的桥梁:冯诺依曼体系、操作系统和初始进程的深度解析
linux·笔记
云和数据.ChenGuang2 小时前
关闭 GitLab 升级提示的详细方法
运维·自动化·gitlab·es运维
007php0072 小时前
服务器上PHP环境安装与更新版本和扩展(安装PHP、Nginx、Redis、Swoole和OPcache)
运维·服务器·后端·nginx·golang·测试用例·php
冰橙子id5 小时前
linux-远程访问管理(sshd,scp,sftp)
linux·网络·ssh
光电的一只菜鸡6 小时前
ubuntu之坑(十五)——设备树
linux·数据库·ubuntu
saynaihe8 小时前
ubuntu 22.04 anaconda comfyui安装
linux·运维·服务器·ubuntu
企鹅与蟒蛇8 小时前
Ubuntu-25.04 Wayland桌面环境安装Anaconda3之后无法启动anaconda-navigator问题解决
linux·运维·python·ubuntu·anaconda
小蜜蜂爱编程8 小时前
ubuntu透网方案
运维·服务器·ubuntu
程序设计实验室9 小时前
小心误关了NAS服务器!修改Linux的电源键功能
linux·nas
AI视觉网奇9 小时前
git 访问 github
运维·开发语言·docker