2024linux安全常用排查命令集

Linux常用排查命令集目錄TOC\o"1-1"\h\u67261.查看用戶信息 447492.歷史命令 5250983.查看端口 6147964.查看進(jìn)程 7210635.開機(jī)啟動(dòng)項(xiàng) 846706.定時(shí)任務(wù) 8153767.服務(wù) 9122008.查找文件 10141179.top命令 10654410.host文件 122677311.Diff 121379812．日志分析 12186213.查看命令狀態(tài) 132812714.文件清除 131.查看用戶信息/etc/passwd查看用戶信息文件/etc/shadow查看影子文件awk-F:'$3==0{print$1}'/etc/passwd（查看系統(tǒng)是否還存在其他的特權(quán)賬戶，uid為0，默認(rèn)系統(tǒng)只存在root一個(gè)特權(quán)賬戶）who查看當(dāng)前登錄用戶（tty本地登陸pts遠(yuǎn)程登錄）w查看系統(tǒng)信息，想知道某一時(shí)刻用戶的行為uptime查看登陸多久、多少用戶，負(fù)載passwd-dusername刪除用戶密碼stat/etc/passwd#查看密碼文件上一次修改的時(shí)間，如果最近被修改過(guò)，那就可能存在問(wèn)題。cat/etc/passwd|grep-vnologin#查看除了不可登錄以外的用戶都有哪些，有沒(méi)有新增的cat/etc/passwd|grepx:0#查看哪些用戶為root權(quán)限，有沒(méi)有新增的cat/etc/passwd|grep/bin/bash#查看哪些用戶使用shell查詢可以遠(yuǎn)程登錄的賬號(hào)：awk‘/\$1|\$6/{print$1}’/etc/shadow查詢具有sudo權(quán)限的賬號(hào)：more/etc/sudoers|grep-v“^#\|^$”grep“ALL=(ALL)”2.歷史命令很多的服務(wù)器會(huì)有存在多用戶登陸情況，登陸root用戶可查看其他用戶的相關(guān)賬戶登錄信息,.bash_history保存了用戶的登陸所操作的命令信息home/root/.bash_historyhistory查看歷史命令cat.bash_history>>history.txt保存歷史命令3.查看端口netstat–antp查看對(duì)應(yīng)鏈接的文件路徑ls-l/proc/pid/exels-l/proc/*/exe|grepxxx#如果我們知道惡意程序的啟動(dòng)文件大致位置，可以使用這個(gè)發(fā)現(xiàn)無(wú)文件的惡意進(jìn)程netstat-antlp|grep172.16.222.198|awk'{print$7}'|cut-f1-d"/"通過(guò)可疑的ip地址獲取程序pid4.查看進(jìn)程ps-aux查看相關(guān)pid對(duì)應(yīng)程序ps–aux|greppid監(jiān)控某一應(yīng)用線程數(shù)（如ssh）ps-eLf|grepssh|wc–l監(jiān)控網(wǎng)絡(luò)客戶連接數(shù)netstat-n|greptcp|grep偵聽端口|wc-lpsaux--sort=pcpu|head-10查看cpu占用率前十的進(jìn)程，有時(shí)候可以發(fā)現(xiàn)5.開機(jī)啟動(dòng)項(xiàng)啟動(dòng)項(xiàng)文件：more/etc/rc.local/etc/rc.d/rc[0~6].dls-l/etc/rc.d/rc3.d/6.定時(shí)任務(wù)crontab-l編輯定時(shí)任務(wù)crontab–ecrontab-uroot–l查看root用戶任務(wù)計(jì)劃ls/var/spool/cron/查看每個(gè)用戶自己的執(zhí)行計(jì)劃#刪除計(jì)劃任務(wù)且控制計(jì)劃任務(wù)不能寫東西sed'/gcc.sh/d'/etc/crontab&&chmod0000/etc/crontab&&chattr+i/etc/crontab常見的定時(shí)任務(wù)文件：/var/spool/cron/*#centos的/var/spool/cron/crontabs/*#ubuntu的/var/spool/anacron/*/etc/crontab/etc/anacrontab#異步定時(shí)/etc/cron.hourly/*/etc/cron.daily/*/etc/cron.weekly//etc/cron.monthly/*7.服務(wù)chkconfig查看開機(jī)啟動(dòng)項(xiàng)目chkconfig--list查看服務(wù)自啟狀態(tài)systemctllist-unit-files|grepenabled8.查找文件find查找指定的文件：find/home1-name*.php!-nameindex.phpfind查看最近一天修改的文件:find/-mtime-1>/etc/aa.txt(查看修改的文件并保存到aa的txt文檔)查找并刪除,liyongxargsfind.-name.svn|xargsrm–rffind/-size+10000k-print：查找大于10000k的文件md5sum-bfilename：查看文件的md5值9.top命令top命令是Linux下常用的性能分析工具，能夠?qū)崟r(shí)顯示系統(tǒng)中各個(gè)進(jìn)程的資源占用狀況，類似于Windows的任務(wù)管理器。默認(rèn)top是根據(jù)cpu的占用情況進(jìn)行排序的可通過(guò)按“b”鍵進(jìn)行切換，可切換到按照內(nèi)存使用情況進(jìn)行排序top-ppid監(jiān)控指定進(jìn)程free查看當(dāng)前系統(tǒng)內(nèi)存使用情況top-b-n1|head10.host文件有一些挖礦程序會(huì)修改/etc/hosts文件11.DiffLinux中的命令，Diff,可以查看兩個(gè)文本文件的差異12．日志分析默認(rèn)日志位置：var/log1、定位有多少IP在爆破主機(jī)的root帳號(hào)：grep"Failedpasswordforroot"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more定位有哪些IP在爆破：grep"Failedpassword"/var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq-c爆破用戶名字典是什么？grep"Failedpassword"/var/log/secure|perl-e'while($_=<>){/for(.*?)from/;print"$1\n";}'|uniq-c|sort-nr2、登錄成功的IP有哪些：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more登錄成功的日期、用戶名、IP：grep"Accepted"/var/log/secure|awk'{print$1,$2,$3,$9,$11}'13.查看命令狀態(tài)很多情況下，存在ps、netstat等一些常見命令被替換，可利用stat查看該狀態(tài)，查看其修改時(shí)間stat/bin/netstat14.文件清除很多時(shí)候會(huì)遇到無(wú)法?？次募?quán)限或是病毒在一直向某個(gè)文件寫入程序，可嘗試如下命令：l