Linux常用应急排查命令(持续更新)

于 2024-08-23 15:23:31 发布
阅读量87 收藏 1
点赞数 2
分类专栏: 云计算 linux 笔记 文章标签: linux 服务器 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34028816/article/details/141466645
版权
linux 同时被 3 个专栏收录
12 篇文章 2 订阅
订阅专栏
笔记
4 篇文章 0 订阅
订阅专栏
云计算
2 篇文章 0 订阅
订阅专栏

1、history

(1)使用history查看历史命令,分析攻击者使用过何命令

history

在这里插入图片描述

(2)但攻击者也能回使用history -c 清除掉历史命令

history -c

(3)使用cat查看cat /root/.bash_history 文件也可以查看到历史使用命令

cat /root/.bash_history

在这里插入图片描述

2、查看passwd账户信息

(1)使用cat 命令查看/etc/passwd文件

cat /etc/passwd

在这里插入图片描述
(2)passwd文件是存储了linux系统上的所有用户信息,以root用户信息为例讲解
在这里插入图片描述
root是用户名
X是密码位,真正的密码存储在shadow文件中
第一个零是用户的ID,0表示超级用户 1是表示普通用户
第二个是组ID,0超级用户组,1表示普通用户组
注释
/root是用户的主目录
/bin/bash是允许shell登录
/sbin/nologin 不允许登录

(3)使用awk命令快速检查是否存在root用户以外的超级用户

awk -F: '{if($3==0)print $1}' /etc/passwd

$3是对应/etc/passwd文件里的第三列的用户ID是否等于0,如果等于0就输出第一列的内容,第一列也就是用户名,可快速检索是否有其他用户是id=0的。

啊醒
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
linux常用排查命令_2021_2_241
08-08
Linux常用排查命令 Linux 操作系统提供了许多实用的命令排查和解决问题。以下是 Linux常用排查命令的整理。 用户信息 * `/etc/passwd` 文件用于存储用户信息 * `/etc/shadow` 文件用于存储用户密码信息 *...
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
linux常用的操作命令
03-23
通过学习并熟练掌握这些Linux常用命令,你可以更高效地在Linux环境中工作,无论是日常开发、系统维护还是问题排查,都将变得更加得心应手。实践是检验真理的唯一标准,不断在实际操作中运用这些命令,将使你的Linux...
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 697
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
Linux中信号量相关接口及环形队列
2301_77479435的博客
08-22 182
Linux中信号量相关接口及环形队列
Linux--C语言之动态内存分配
2201_75773226的博客
08-18 1149
void:是空类型,是数据类型的一种void*:是指针类型,是指针类型的一种,可以匹配任意类型的指针,类似于通配符。
Linux 实用运维sh脚本分享
08-22 116
【代码】Linux 实用运维sh脚本分享。
linux查询目录文件基础操作
qq_43826626的博客
08-22 153
ls -l。
linux 安装GNOME Boxes
qq_58778333的博客
08-19 240
yum install dpkg # 对于基于RPM的系统。先在服务器上安装flatpak。,那么你就是root用户。
linux 网卡配置
轻口味的专栏
08-21 832
linux网卡可以通过命令和配置文件配置,如果是桌面环境还可以通过图形化界面配置.
Docker镜像添加Linux普通用户
lukabruce的博客
08-22 98
2) useradd normalUserName //新增普通用户名,比如新增tom: useradd tom;1) docker run -it --name X1 ;1)基于客户端打客户端镜像包client.tar.gz。3)id -u tom //查看用户tom的UID。4)docker commit X1 镜像B。2) 构建镜像C build-imageC.sh。(3)构建带有普通用户名UID的镜像C。1) 创建DockerFile。
Linux:进程信号
MaoRuofeng的博客
08-19 690
OS是进程的管理者。
Linux 网络套接字解析:实现网络通信
喜欢就坚持吧
08-18 900
Linux网络编程套接字tcpudp
Linux 开机自动挂载共享文件设置
Insist
08-18 191
选择一个要共享的文件。点击确定 -> 确定。
使用vagrant、virtualbox、快速创建kali linux
最新发布
Amewin的博客
08-22 136
按住键盘 pagedown 拉到最下面。
Linux 下 RocketMQ 安装、配置与运维(详细讲解)
qyhua的专栏
08-18 1283
Linux 下 RocketMQ 安装、配置与运维 如果是内网IP外网是无法访问的,需要配置外网IP,云服务器如果使用默认配置一般是内网IP。broket 启动时默认启动脚本内存参数是使用8G内存。要更改 RocketMQ 的本地部署中的端口,您需要修改 RocketMQ 的配置文件。从上图中可以看到send_ok,说明生产端已正常发送信息到队列。从上面看,本地生产发送与接收数据正常,基本可以判断本地安装正常。执行后看到创建了个后台进程,但此时并无法看到日记。安装过程非常简单,解压。
Shell——读取命令read
Mitos的博客
08-19 275
在 Shell 编程中,read 命令用于从标准输入(通常是键盘)读取数据并将其存储在变量中。它非常适合用于交互式脚本,让用户能够输入数据。
linux常用入侵排查命令
07-20
Linux系统中常用的入侵排查命令主要包括以下几种: 1. **ps**:用于查看当前系统的进程状态,可以帮助检测异常的进程活动,如`ps aux | grep [可疑程序名]`。 2. **netstat**:显示网络连接、监听端口等信息,可以检查是否有未授权的网络连接,例如`netstat -tulnp` 查看所有 TCP 连接。 3. **iptables/ufw**:防火墙规则检查,确认是否有一些未知或者非标准的服务正在运行,比如`sudo iptables-save` 或 `sudo ufw status numbered`. 4. **lsof**:列出文件描述符,可用于查找占用大量资源或者来自未知源的文件操作。 5. **grep/sudo tail**:搜索日志文件,比如`sudo tail /var/log/auth.log` 可能会发现一些登录尝试或者错误信息。 6. **last**:查看用户最后登录的信息,查找未注销的登录记录。 7. **df/du**:磁盘空间监控,找出是否存在突然增大的大文件或目录。 8. **chkconfig service status**:检查服务的状态,确认是否有意外启动的服务。 9. **crontab -l**:查看定时任务,确认是否有未经授权的计划作业。 10. **find**:查找特定类型的文件或权限变化,帮助定位潜在的安全风险。 当你怀疑系统被入侵时,结合使用这些命令,并密切关注日志文件,通常可以初步判断出问题所在。同时,定期备份系统以及应用安全策略也是防止和应对入侵的重要手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

啊醒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值