linux应急常用命令+技巧总结(一)
一.Linux常用命令
1. top命令 查看进程实时情况
注意这里的进程情况都是实时更新的
2. ps aux --sort=pcpu | head -10
该条命令用于查看CPU占用率前10的进程,和top命令补充使用,可以发现top命令显示不出来的内容
3. netstat -anpl # 检查当前存在的连接与监听端口
4. ps -ef # 查看当前系统上运行的所有进程与其使用的命令
5.查看活动用户
6. who 查看当前登录用户 (tty本地登录 pts远程登陆) /var/log/utmp
7.查看用户登录日志,查看系统的成功登录,关机,重启等情况
/var/log/wtmp
8.lastb # 查看登录失败的用户日志 /var/log/btmp
9.busybox 可以作为应急常用的工具,用于在系统命令被替换了的情况下查看系统相关信息
10. lastlog 查看所有登录日志 /var/log/lastlog
11. lsof -nPi 查看内部对外的网络连接情况
12. lsof -i :80 # 查看指定端口的使用情况
二. 查看历史命令详情
设置history来显示时间和用户名,用于排查谁在什么时间执行的具体命令
export HISTIMEFRMAT = "%f $ %T 'whoami' " # 设置History 显示用户名和时间
这些进阶的linux命令在应急响应排查的过程中能起到非常好的作用,熟练掌握并使用可以让整个过程如鱼得水。