Linux系统分析排查

最新推荐文章于 2024-04-10 22:57:26 发布
最新推荐文章于 2024-04-10 22:57:26 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: 网络安全 文章标签: 服务器 网络安全 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44799217/article/details/124553814
版权

文件分析一敏感文件信息1

        在Linux系统下一切都是文件。其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。

文件分析一敏感文件信息2

查看开机启动项内容/etc/init.d/,恶意代码很有可能设置在开机自启动的位置。

查看指定目录下文件时间顺序的排序:ls -alt | head -n 10

查看文件时间属性:stat文件名

 文件分析一敏感文件信息3

新增文件分析:

查找24小时内被修改的文件:

find ./ -mtime 0 -name“*.txt”

查找72小时内新增的文件:

find ./ -ctime -2 -name"“*.txt"

权限查找:在Linux系统中,如果具有777权限,那么文件很可疑。

find ./ -iname “*.txt*” -perm 777 其中-iname忽略大小写,-perm用于设定筛选文件权限

进程分析一网络连接分析

在Linux中可以使用netstat进行网络连接查看。

netstat - Print network connections, routing tables, interface statistics,masquerade connections, andmulticast memberships

具体帮助信息查看 man netstat

常用命令netstat -pantl查看处于tcp网络套接字相关信息。

关闭未知连接 kill -9 pid 即可关闭。

分析-进程所对文件

在Linux中可以使用ps查看进程相关信息。使用ps aux查看所有进程信息

使用ps aux | grep PID 筛选出具体PID的进程信息,lsof -i:端口号也可以实现类似功能

 登录分析

        在Linux做的操作都会被记录到系统日志中,对于登录也可以查看日志信息查看是否有异常登录。

        last命令 last -i l grep -v 0.0.0.0查看登录日志,筛选非本地登录。

        w命令实时登录查看

异常用户分析排查

在Linux中 root 用户是一个无敌的存在,可以在Linux上做任何事情。

新建用户 useradd username

设置密码 passwd username 输出密码

设置用户uid和gid都为0. (root用户uid为0 gid为0)修改文件即可

  • cat /etc/passwd

  •  grep "0:0" /etc/passwd

  •  ls -l /etc/passwd

  • awk -F: '$3==0 {print $1}' /etc/passwd

  • awk -F: '$2=="!" {print $1}' /etc/shadow或 awk -F: length($2)==0  {print $1}'  /etc/shadow

历史命令分析history

在Linux系统中默认会记录之前执行的命令/root/.bash_history文件中。

用户可以使用cat /root/ .bash_history进行查看或着使用history命令进行查看

特别注意:wget(可能远程下载木马)、ssh(连接内网主机)、tar zip类命令(数据打包)、系统配置等(命令修改)

计划任务排查crontab

在Linux系统中可以使用命令crontab进行计划任务的设定

        其中-e 可以用来编辑设定计划任务,-l可以用来查看当前计划任务,-r用来删除计划任务。特别注意计划任务中未知内容

 

 

开机自启动项

在Linux(Debian)系统中  /etc/ init.d/目录下保存着开机自启动程序的目录。

用户可以直接使用/etc/init.d/程序名称status查看状态。

使用update-rc.d程序名称disable取消开机自启动。 使用enable实现开机自启动。

$PATH变量异常

        决定了shell将到哪些目录中寻找命令或程序,PATH的值是一系列目录,当您运行一个程序时,Linux正这些目录下进行搜寻编译链接。【如使用命令ls、cd时,这也是通过path变量来设置的】

        修改PATH export PATH=$PATH:/usr/locar/new/bin 本次终端中有效,重启后无效。在/etc/profile或/home/.bashrc (source ~/.bashrc)才能永久生效。

后门排意 rkhunter

Rkhunter具有以下功能:

        1、系统命令检测,MD5校验

        2、Rookit检测

        3、本机敏感目录、系统配置异常检测

安装:apt install rkhunter

基本使用:rkhunter --check --sk

-c, --check                              Check the local system

--sk,--skip-keypress                Don't wait for a keypress after each test

IT之一小佬
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改tomcat默认临时目录
SongJingzhou的博客
11-05 4546
先把错误栈贴出来:如下图 项目中用到multipart 解析器,一次长时间没有访问的web服务突然出现Could not parse multipart servlet request; nested exception is java.io.IOException:The temporary upload location [***]is not valid,经过查资料发现,spri...
Spring Boot内嵌Tomcat临时目录问题
weixin_70280523的博客
12-05 4379
tomcat临时文件路径
Spring Boot Tomcat临时目录tmp抛错误异常,java面试程序题
最新发布
04-10 368
既已说到spring cloud alibaba,那对于整个微服务架构,如果想要进一步地向上提升自己,到底应该掌握哪些核心技能呢?就个人而言,对于整个微服务架构,像RPC、Dubbo、Spring Boot、Spring Cloud Alibaba、Docker、kubernetes、Spring Cloud Netflix、Service Mesh等这些都是最最核心的知识,架构师必经之路!下图,是自绘的微服务架构路线体系大纲,如果有还不知道自己该掌握些啥技术的朋友,可根据小编手绘的大纲进行一个参考。
01-tomcat入门
yuhuofei的草屋
05-08 804
1. tomcat是什么 tomcat是Apache的一个开源项目,是一款免费的轻量级应用服务器。它可以实现JavaWeb程序的装载,发布应用上线,是当前使用比较多的服务器。 它的下载也非常简单,首先进到tomcat的官网,然后选择要下载的版本,下载到本地即可,之后该解压就解压,该安装就安装。比如,我这里下载tomcat 9的版本。 (1)点击 Tomcat 9 (2)选择window系统,64位的压缩包下载,大概就10多M,一会儿就下载完 (3)将zip包解压,里面的目录就是这样的 2. tomca
Linux下部署多个Tomcat【优质解决方案】
Java Learning
05-05 431
一、场景:测试服务器数量有限,因此决定单台Linux下部署多个Tomcat。二、分析:一般有两种方案。多个Tomcat,每个 Tomcat运行一个项目;单Tomcat运行多个项目。由于不想影响之前的项目,也为了日后便于维护,决定采用第一种方案。三、实施: 1.需求:在不影响/root/下的tomcat运行的情况下,在/root/sdn_copy/下部署另一个tomcat。 2.修改/etc/pro...
Spring Data Commons 远程命令执行漏洞
m0_63241485的博客
08-17 433
Spring是一个开源框架,它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring的开发初衷:1、JAVA EE开发应该更加简单。2、使用接口而不是使用类,是更好的编程习惯。Spring将使用接口的复杂度几乎降低到了零。3、为JavaBean提供了一个更好的应用配置框架。...
Linux系统故障分析排查
02-21
Linux系统中,同样需要进行大量的备份来完成系统的维护工作,并且使用复制粘贴命令即可完成,在接下来的时间中介绍一些关于Linux系统故障分析排查的操作。日志服务器的部署通过一台RHEL5作为日志服务器A,一台...
linux系统诊断.pdf
06-15
多年云上ECS运维经验 ,18个高频问题案例分析,最佳优化解决方案。 针对使用ECS的阿里云用户提交的售后问题多而广,为了更好地服务...心GTS的ECS系统售后团队根据多年的丰富排查经验,总结并选取出一些处理思路和方案。
Linux系统中CPU占用率较高问题排查思路与解决方法
01-10
作为 Linux 运维工程师,在日常工作中我们会遇到 Linux服务器上出现CPU负载达到100%居高不下的情况,如果CPU 持续跑高,则会影响业务系统的正常运行,带来企业损失。 很多运维的同学遇到这种状况往往会不知所措,...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux各目录及每个目录的详细介绍
weixin_30367945的博客
09-05 433
【常见目录说明】 目录 /bin 存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里。 /etc 存放系统管理和配置文件 /home 存放所有用户文件的根目录,是用户主目录的基点,比如用户user的主目录就是/home/user,可以...
linux总是自动产生文件夹,linux自动删除tmp文件夹bash脚本
weixin_39562338的博客
05-08 533
今天有自己啥琢磨了一下用bash脚本去删除linux上的tmp文件夹。废话不多说直接贴代码。#!/bin/bashTMP_DIRS="/tmp /var/tmp /usr/src/tmp /mnt/tmp"FILE_AGE=+3LINK_AGE=+1SOCK_AGE=+1# Make EMPTYFILES true to delete zero-length filesEMPTYFILES=fal...
1、 scp命令
赶路人儿
07-16 908
scp是secure copy的简写,用于在Linux下进行远程拷贝文件的命令,和它类似的命令有cp,不过cp只是在本机进行拷贝不能跨服务器,而且scp传输是加密的。可能会稍微影响一下速度。当你服务器硬盘变为只读 read only system时,用scp可以帮你把文件移出来。另外,scp还非常不占资源,不会提高多少系统负荷,在这一点上,rsync就远远不及它了。虽然 rsync比scp会快一点
springboot linux下运行会产生的tomcat相关的临时目录自定义配置
热门推荐
成熟的小孩的博客
01-14 1万+
目录名称 在springboot项目启动后,系统会在‘/tmp’目录下自动的创建几个目录 1.tomcat.************.8080,(结尾是项目的端后) 2.tomcat-docbase.*********.8080。 对于Multipart(form-data)的方式处理请求时,默认就是在第二个目录下创建临时文件的。 如何自定义这两个目录: tomcat.**********...
tomcat各个文件夹的作用
ricky_blog
04-27 532
bin目录 bin目录主要是用来存放tomcat的命令 startup 启动tomcat shutdown 关闭tomcat conf目录 主要存放tomcat的配置文件 server.xml 设置端口号,域名或ip,默认加载的项目,请求编码 web.xml 设置tomcat支持的文件类型 context.xml配置数据源 tomcat-users.xml配置管理tomcat的用户与权限 lib目...
undertow、tomcat下临时目录tmp抛错误异常
赛赛
01-07 2658
问题场景 springboot上传文件报错: java.nio.file.NoSuchFileException: /tmp/undertow.XXX java.nio.file.NoSuchFileException: /tmp/tomcat.XXX 原因分析 系统长时间不使用导致临时目录被删除 Spring Boot 应用以 java -jar 命令启动时,会在操作系统的 /tmp 目录下生成一个临时目录, 对于http POST请求来说,它需要使用这个临时目录来存储post数据。由于临时 /tmp 目
Linux进程以及计划任务
一个闲人
04-12 1289
第一行信息解释信息含义15:28:22当前时间up 3:57系统运行时间4 users当前登录的用户数系统负载,即任务队列的平均长度,三个数值分别为1分钟、5分钟、15分钟前到现在的平均值假如是单核cpu:满负载就是1.00,满负载不是代表系统以及运行不了了,而是如果有多出来的任务,那就需要进行等待。如果为1.20,表示CPU已经超负载运行,有两个任务需要进行等待才可以运行。如果为0.70,表示CPU在未达到满负载运行,还可以运行其他任务。
LInux系统内存故障排查
03-24
Linux系统内存故障排查是一项重要的任务,它可以帮助我们找出系统中可能存在的内存问题并解决它们。下面是一些常见的Linux系统内存故障排查方法和工具: 1. 查看内存使用情况:可以使用命令"free"或者"top"来查看系统当前的内存使用情况,包括总内存、已使用内存、空闲内存等信息。 2. 查看内存泄漏:内存泄漏是指程序在运行过程中分配了内存但没有释放,导致内存占用不断增加。可以使用工具如"valgrind"来检测内存泄漏问题。 3. 检查进程内存使用情况:可以使用命令"ps"或者"top"来查看各个进程的内存使用情况,找出占用内存较多的进程。 4. 检查系统日志:系统日志中可能会记录一些与内存相关的错误信息,可以使用命令"journalctl"来查看系统日志。 5. 检查交换空间使用情况:交换空间是一种虚拟内存,当物理内存不足时,系统会将部分数据写入交换空间。可以使用命令"swapon"或者"free"来查看交换空间的使用情况。 6. 使用内存分析工具:可以使用工具如"memtest"来对系统进行内存测试,以检测是否存在硬件故障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值