Ubuntu 应急响应命令
linux应急响应
应急响应流程
linux 系统应急响应命令
文件分析
1.查看tmp目录下的文件
ls ‐alt /tmp/
2.查看开机启动项内容
ls ‐alt /etc/init.d/
3.查看指定目录下文件时间的排序
ls ‐alt | head ‐n 10 #4.针对可疑文件可以使用‘stat’查看创建修改时间、访问时间的详细列表。
5.查找指定时间修改或者新增的文件
find ./ ‐mtime 0 ‐name “*.jsp”
#n=1为例子,今天是第0天。昨天是第1天,+1就即昨天以前的,‐1,就是今天的,不带符号的1就是昨天的,时间
轴是:+1,1,‐1。
6.实用技巧
1.查找特殊权限的文件
find /* ‐iname “*.jsp*” ‐perm 4777
进程命令
1.查看可疑端口、IP、可疑PID及程序和进程
netstat ‐atlp | more
2.进程分析
ps aux |grep pid |grep ‐v grep
3.查看系统命令是否被替换
ls ‐alt /usr/bin | head‐10
ls ‐al /bin/usr/usr/sbin//sbin/|grep “Jan15”
PS:如果日期数字<10,中间需要两个空格。
比如1月1日,grep”Jan1″
4.隐藏进程查看
ps ‐ef|awk'{print}’|sort ‐n|uniq > 1
ls /proc|sort ‐n|uniq > 2
diff 12
系统信息
/etc/passwd corontab /etc/cron* rclocal /etc/init.d chkconfig last $path strings
1.查看进程
history
cat /root/.bash_history2.查看分析用户相关信息
cat /etc/passwd
3.查询特权用户特权用户
awk ‐F: ‘$3==0{print $1}’ /etc/passwd
4.查询可以远程登录的帐号信息
awk ‘/$1|$6/{print $1}’ /etc/shadow
5.查询特权用户
more /etc/sudoers | grep ‐v “^#|^$” | grep “ALL=(ALL)”
6. 计划任务分析
crontabl ‐l #查看当前的任务计划有哪些
ls /etc/cron* #查看etc目录任务计划相关文件
7.查看开机启动程序
查看rc.local 文件(/etc/init.d/rc.local 或 /etc/rc.local)
ls ‐alt /etc/init.d
last # 查看用户最近登录信息(/var/log/utmp,/var/log/wtmp,/var/log/btmp
#utmp 保存的是正在登录系统的用户信息
#wtmp 文件保存的是登陆过本系统的用户的信息
#btmp 文件保存的是登录错误的日志)
lastb | awk ‘{ print $3}’ | sort | uniq ‐c | sort ‐n #查看恶意IP尝试登录的次
来源:freebuf.com 2021-03-26 16:51:41 by: Classic
请登录后发表评论
注册