2024linux安全常用排查命令集

Linux常用排查命令集目錄TOC\o"1-1"\h\u67261.查看用戶信息 447492.歷史命令 5250983.查看端口 6147964.查看進程 7210635.開機啟動項 846706.定時任務 8153767.服務 9122008.查找文件 10141179.top命令 10654410.host文件 122677311.Diff 121379812．日志分析 12186213.查看命令狀態(tài) 132812714.文件清除 131.查看用戶信息/etc/passwd查看用戶信息文件/etc/shadow查看影子文件awk-F:'$3==0{print$1}'/etc/passwd（查看系統(tǒng)是否還存在其他的特權賬戶，uid為0，默認系統(tǒng)只存在root一個特權賬戶）who查看當前登錄用戶（tty本地登陸pts遠程登錄）w查看系統(tǒng)信息，想知道某一時刻用戶的行為uptime查看登陸多久、多少用戶，負載passwd-dusername刪除用戶密碼stat/etc/passwd#查看密碼文件上一次修改的時間，如果最近被修改過，那就可能存在問題。cat/etc/passwd|grep-vnologin#查看除了不可登錄以外的用戶都有哪些，有沒有新增的cat/etc/passwd|grepx:0#查看哪些用戶為root權限，有沒有新增的cat/etc/passwd|grep/bin/bash#查看哪些用戶使用shell查詢可以遠程登錄的賬號：awk‘/\$1|\$6/{print$1}’/etc/shadow查詢具有sudo權限的賬號：more/etc/sudoers|grep-v“^#\|^$”grep“ALL=(ALL)”2.歷史命令很多的服務器會有存在多用戶登陸情況，登陸root用戶可查看其他用戶的相關賬戶登錄信息,.bash_history保存了用戶的登陸所操作的命令信息home/root/.bash_historyhistory查看歷史命令cat.bash_history>>history.txt保存歷史命令3.查看端口netstat–antp查看對應鏈接的文件路徑ls-l/proc/pid/exels-l/proc/*/exe|grepxxx#如果我們知道惡意程序的啟動文件大致位置，可以使用這個發(fā)現(xiàn)無文件的惡意進程netstat-antlp|grep172.16.222.198|awk'{print$7}'|cut-f1-d"/"通過可疑的ip地址獲取程序pid4.查看進程ps-aux查看相關pid對應程序ps–aux|greppid監(jiān)控某一應用線程數(shù)（如ssh）ps-eLf|grepssh|wc–l監(jiān)控網(wǎng)絡客戶連接數(shù)netstat-n|greptcp|grep偵聽端口|wc-lpsaux--sort=pcpu|head-10查看cpu占用率前十的進程，有時候可以發(fā)現(xiàn)5.開機啟動項啟動項文件：more/etc/rc.local/etc/rc.d/rc[0~6].dls-l/etc/rc.d/rc3.d/6.定時任務crontab-l編輯定時任務crontab–ecrontab-uroot–l查看root用戶任務計劃ls/var/spool/cron/查看每個用戶自己的執(zhí)行計劃#刪除計劃任務且控制計劃任務不能寫東西sed'/gcc.sh/d'/etc/crontab&&chmod0000/etc/crontab&&chattr+i/etc/crontab常見的定時任務文件：/var/spool/cron/*#centos的/var/spool/cron/crontabs/*#ubuntu的/var/spool/anacron/*/etc/crontab/etc/anacrontab#異步定時/etc/cron.hourly/*/etc/cron.daily/*/etc/cron.weekly//etc/cron.monthly/*7.服務chkconfig查看開機啟動項目chkconfig--list查看服務自啟狀態(tài)systemctllist-unit-files|grepenabled8.查找文件find查找指定的文件：find/home1-name*.php!-nameindex.phpfind查看最近一天修改的文件:find/-mtime-1>/etc/aa.txt(查看修改的文件并保存到aa的txt文檔)查找并刪除,liyongxargsfind.-name.svn|xargsrm–rffind/-size+10000k-print：查找大于10000k的文件md5sum-bfilename：查看文件的md5值9.top命令top命令是Linux下常用的性能分析工具，能夠實時顯示系統(tǒng)中各個進程的資源占用狀況，類似于Windows的任務管理器。默認top是根據(jù)cpu的占用情況進行排序的可通過按“b”鍵進行切換，可切換到按照內(nèi)存使用情況進行排序top-ppid監(jiān)控指定進程free查看當前系統(tǒng)內(nèi)存使用情況top-b-n1|head10.host文件有一些挖礦程序會修改/etc/hosts文件11.DiffLinux中的命令，Diff,可以查看兩個文本文件的差異12．日志分析默認日志位置：var/log1、定位有多少IP在爆破主機的root帳號：grep"Failedpasswordforroot"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more定位有哪些IP在爆破：grep"Failedpassword"/var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq-c爆破用戶名字典是什么？grep"Failedpassword"/var/log/secure|perl-e'while($_=<>){/for(.*?)from/;print"$1\n";}'|uniq-c|sort-nr2、登錄成功的IP有哪些：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more登錄成功的日期、用戶名、IP：grep"Accepted"/var/log/secure|awk'{print$1,$2,$3,$9,$11}'13.查看命令狀態(tài)很多情況下，存在ps、netstat等一些常見命令被替換，可利用stat查看該狀態(tài)，查看其修改時間stat/bin/netstat14.文件清除很多時候會遇到無法?？次募嘞藁蚴遣《驹谝恢毕蚰硞€文件寫入程序，可嘗試如下命令：l