当前位置: 首页> 财经> 股票 > Linux入侵排查

Linux入侵排查

时间:2025/7/10 16:44:34来源:https://blog.csdn.net/qq_34981272/article/details/140129268 浏览次数:0次

基本信息

查看CPU信息

lscpu

查看当前操作系统信息

uname -a

查看所有载入系统的模块信息

lsmod

分析超级权限账户:查询可登录账户UID为0的账户,root是UID为0
的可登录账户,如果出现其它为0的账户,就要重点排查:

awk -F: '{if($3==0)print $1}' /etc/passwd

用户信息

查看所有用户信息

cat /etc/passwd

nologin表示状态不可登录

bin/表示账户可登录

查看当前用户登录系统情况

查看用户最近登录信息

查看所有用户最后的登录时间

查看当前用户信息

计划任务

crontab -l

crontab -u root -l

查看进程

netstat -anptl

redhat linux

chkconfig --list  查看系统运行服务

所有服务器状态

service --status-all

敏感目录 

/tmp  常作为恶意软件下载目录即相关文件被替换的目录

 /etc/ssh  常作为一些后门配置的路径

查看目录按照时间排序

特殊权限文件查找

webshell查找:webshell排查可以通过文件、流量、日志分析,基于文件的命名特征和内容特征,相对操作性较高。

日志分析

/var/log/wtmp:记录登录进入、退出、数据交换、关机和重
启,即last,是一个二进制文件,可以使用last查看

常用排查命令

top 查看当前系统状态

操作系统信息

uname -a 

查看当前系统进程信息

ps

查看历史命令

history

列出本机所有的连接和监听的端口

netstat 

查看当前用户登录系统情况

who

知道这一个的用户行为,查看系统信息
w


查看异常端口信息

netstat -antlp|more

杀死进程

kill 

关键字:Linux入侵排查

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

责任编辑: