一句话经典命令收集

排除重复(比sort+uniq高效)
awk '!a[$0]++'

查找当前目录下子目录权限为777改为755
find . -type d -perm 777 -exec chmod 755 {} \;
删除0字节文件
find -type f -size 0 -exec rm -rf {} \;

查找aa文件中所有以txt和gz结尾的行
grep -E '^.*(txt|gz)$'  filename

找出占用空间最多的文件或目录
du -cks * | sort -rn | head -n 10

取IP地址
ifconfig  | grep 'inet addr:'| grep -v '127.0.0.1' | cut -d: -f2 | awk '{ print $1}'
ifconfig eth0 | sed -n '/inet /{s/.*addr://;s/ .*//;p}'

查找安全日志中记录下的登录及尝试登录IP（分析是否为暴力登录）
grep -oP '(\d+\.){3}\d+' /var/log/secure

查看系统是否异常日志
egrep -i 'error|warn' /var/log/messages

核心日志，检查是否有异常错误记录
dmesg

查看0点-8点的pam认证日志
awk '$3 > "00:00" && $3 < "08:00" {print $0}' /var/log/messages |grep pam_user

取后3位数值
a=123456&&echo ${a: 3}

for 的巧用(如给mysql建软链接)
cd /usr/local/mysql/bin；for i in *；do ln /usr/local/mysql/bin/$i /usr/bin/$i；done

shell中可用的时间判断
nowtime=`date |awk '{print $5}'|cut -c 1-5`
if [[ $nowtime > "08:30" && $nowtime < "18:00" ]]

各种网络链接tcp状态统计：
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查找httpd进程内存使用大于10%的进程
ps aux |grep httpd | awk '$4 >= 10.0 {print $2}'

杀掉80端口相关的进程
lsof -i :80|grep -v "PID"|awk '{print "kill -9",$2}'|sh

清除僵死进程
ps -eal | awk '{ if ($2 == "Z") {print $4}}' | kill -9

cpdump 抓包 ，用来防止80端口被人攻击时可以分析数据
tcpdump -c 10000 -i eth0 -n dst port 80 > /root/pkts
然后检查IP的重复数 并从小到大排序 注意 "-t\ +0"  中间是两个空格
less pkts | awk {'printf $3"\n"'} | cut -d. -f 1-4 | sort | uniq -c | awk {'printf $1" "$2"\n"'} | sort -n -t\ +0
或者用如下一句：
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

统计目录下文件的大小（按M打印显示）
du $1 --max-depth=1 | sort -n|awk '{printf "%7.2fM ----> %s\n",$1/1024,$2}'|sed 's:/.*/\([^/]\{1,\}\)$:\1:g'

统计服务器上所有的jpg的文件的大小
find / -name *.jpg -exec wc -c {} \;|awk '{print $1}'|awk '{a+=$1}END{print a}'

简单查询php木马
find ./ -name "*.php" -type f -print0|xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(base64_decode|spider_bc)"|awk -F: '{print $1}'|sort|uniq

转自：http://www.xmydlinux.org/201104/418.html