目录
关键目录
常用命令
日志分析
关键目录
| 文件名 | 说明 |
| /etc/password | 用户信息文件 |
| /etc/crontab | 定时任务文件 |
| /etc/anacrontab | 异步定时任务文件 |
| /etc/rc.d/rc.local /etc/init.d/ | 开机启动项 |
| /etc/hosts | 本地IP地址域名解析文件 |
| /var/log/btmp | 登录失败日志,用last命令查看 |
| /var/log/cron | 定时任务执行日志 |
| /var/log/lastlog | 所有用户最近登录信息,用lastlog命令查看 |
| /var/log/secure | 验证、授权等机制 |
| /var/log/wtmp | 包含用户登录日志,用last命令查看 |
| /var/log/utmp | 当前登录系统的用户信息,使用last命令查看 |
| /root/.ssh | root用户ssh公钥和私钥 |
| /tmp | 系统或用户临时文件的目录 |
常用命令
| 命令 | 说明 |
| top | 查看进程资源占用(pid、user、%cpu、command等) |
| ps -aux ps -aux | grep pid ps -auxf | 查看进程(pid、%cpu、time、command等) 根据pid分析进程 查看系统进程以及子进程 |
| netstat -antpl ls -alh /proc/pid | 查看网络连接(查看外链foreign address及对应的pid) 根据pid查看对应的可执行程序 |
| lsof -i : port lsof -p pid lsof -u root | 查询端口打开的文件 查询进程打开的文件 查询用户打开的文件 |
| last lastb lastlog | 显示系统用户最近登录信息 显示错误的尝试登陆信息 显示所有的用户最近登录的信息 |
| grep netstat -antpl | grep 22 | 查询符合条件的字符串 查询端口号或pid号为22的网络连接 |
| crontab -l cat /etc/crontab | 查看定时任务 |
| history cat ~/.bash_history | 查看历史命令 |
| ls -alt | 查看当前目录下所有文件并排序 |
| free -h | 查看系统内存使用情况。高内存占用可能为挖矿 |
| lsattr 文件名 chattr 文件名 挖矿病毒无法删除 | 显示文件属性 修改文件属性 挖矿病毒一般被执行 (chattr +i 文件名) 命令,导致该文件无法删除,所以我们需要先执行(lsattr 文件名)命令,查看文件属性,如果被+i,我们需要执行(chattr -i 文件名)命令,再执行(rm -rf 文件名)这样就可以删除该挖矿病毒。 |
| cat /etc/rc.local ls -alt /etc/profile.d/*.sh | 排查启动项 |
| rmp -Va dpkg -verify | 校验RMP软件包(查看是否出现SM5) S:表示对应文件大小不一致 M:表示对于文件权限和所有权不一致 5:表示对应文件的MD5不一致 |
| stat 文件名 stat 文件夹名 | 查询文件/文件夹的详细信息 |
| find / -mtime 0 -name *.jsp find / -ctime 0 -name *.jsp | 查找当前目录下,指定天数内修改的执行类型文件 查找当前目录下,指定天数内创建的执行类型文件 |
| diff -c A B | 比较A和B文件的差异 |
| ps -ef | awk '{print $2}' |sort -n | uniq > ps.p ls /proc |sort -n | uniq > proc.p diff ps.p proc.p | 查看隐藏进程 |
| grep ”Accepted“ /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more | 查询登陆成功的IP |
| grep ”Failed password“ /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more | 定位有爆破记录行为的IP |
日志分析
| 日志文件 | 说明 |
| /var/log/messages | 系统重要信息日志 |
| /var/log/secure | 记录验证和授权方面的信息(ssh登录、su切换用户、添加用户等) |
| /var/log/maillog | 记录系统运行电子邮件服务器的日志信息 |
| /var/log/cron | 记录系统定时任务相关日志 |
| var/log/boot.log | 记录系统启动时候的日志,包括自启动的服务 |
| /var/log/dmesg | 记录内核缓冲信息 |
| /var/log/btmp | 记录所有登陆失败的日志 |
| /var/log/wtmp | 用户每次登录进入和退出时间的永久记录 |
| /var/log/lastlog | 记录所有用户最近的信息 |
本文链接:https://my.lmcjl.com/post/14018.html
4 评论