前言
在进行应急响应时,我们首先需要对系统进行一个全面的排查,发现可能存在问题的点,如是否存在恶意进程,恶意文件等。上篇文章说了win下手工排查时常用的系统命令,本篇文章来看一下linux下常见的应急排查。
由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。如果有什么好的想法也欢迎交流~~
应急系列文章
系统排查
1)查看CPU信息:lscpu
通过lscpu命令可以查找cpu的信息
2)操作系统信息
uname -a
cat /proc/version
3)模块信息
lsmod
用户信息排查
1)查看所有用户的信息 cat /etc/passwd
查看系统所有用户信息可以在命令行中输入【cat/etc/passwd】命令,后续各项由冒号隔开,分别表示“用户名”“密码加密”“用户ID”“用户组ID”“注释”“用户主目录”“默认登录shell”。查询的用户信息中,最后显示“bin/bash”的,表示账户状态为可登录;显示“sbin/nologin”的,表示账户状态为不可登录
2)查找超级账号
linux账号中药特别关注root权限的账号,也就是UID/GID为0的账号。如果出现了除root以外的UID为0的可登录账号,要重点排查
awk -F: '{if ($3==0) print $1}' '/etc/passwd'
3)可登录账号分析
除了root账号以外,可登录账号也要重点关注
cat /etc/passwd |grep /bin/bash
4)查看用户错误的登录信息
lastb
可查看用户错误的登录列表,包括错误的登录方法、IP地址、时间等)
更详细的登录错误信息,可以到/var/log/secure日志中查看
5)查看所有用户最后的登录信息
lastlog
查看系统重所有用户最后的登录信息
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
