1、我们首先查看了系统的登录日志,查看是否有可疑登录信息,执行如下命令:
more /var/log/secure
如下图:2、查看一下系统密码文件/etc/shadow
这样可以查看 有没有可疑信息 更改密码之类的、、、、 3、还可以查看其它日志信息、、、、、、、、、、、、、
4、ps命令 查看进程
[root@localhost log]# ps
PID TTY TIME CMD
2782 pts/0 00:00:00 sudo
2789 pts/0 00:00:00 su
2792 pts/0 00:00:00 bash
3044 pts/0 00:00:00 ps
[root@localhost log]# ps sudo
error: unsupported option (BSD syntax)
ps 的参数非常多, 在此仅列出几个常用的参数并大略介绍含义
-A 列出所有的行程
-w 显示加宽可以显示较多的资讯
-au 显示较详细的资讯
-aux 显示所有包含其他使用者的行程
aux 如下:
查询指定的进程
ps pid
5、top命令
性能分析工具,能够实时显示系统中各个进程的资源占用情况。
可以用来查看可疑进程 木马程序等等...........
6、在分析过程中,痕迹数据永远是最重要的数据资料。所以第一件事自然是备份相关痕迹数据。痕迹数据主要包含如下几点:
- 系统日志:message、secure、cron、mail等系统日志;
- 应用程序日志:Apache日志、Nginx日志、FTP日志、MySQL等日志;
- 自定义日志:很多程序开发过程中会自定义程序日志,这些日志也是很重要的数据,能够帮我们分析入侵途径等信息;
- bash_history:这是bash执行过程中记录的bash日志信息,能够帮我们查看bash执行了哪些命令。
- 其他安全事件相关日志记录
- 各种中间件的信息
- 查看apach 日志
查看用户信息
more etc/passwd 查看用户信息
more etc/shadow 查看用户密码信息