分享一些Linux应急响应的时候,经常使用的一些命令行以及相关技巧,方便大家在做应急响应的时候参考使用。
常用命令行
查看当前目录下所有文件并排序
ls -alt
查看系统内存使用情况
free -h
查看系统进程及子进程
ps auxf
查看系统进程及其占用率
top
查看网络连接
netstat -pantl
ps aux | grep pid
查看对应pid进程可执行程序
ls -alh /proc/[pid]
查询端口打开的文件
lsof -i:port
查询进程打开的文件
lsof -p pid
查询用户打开的文件
lsof -u root
修改文件属性
lsattr
显示文件属性
chattr
排查启动项
cat /etc/rc.local
ls -alt /etc/profile.d/*sh
crontab -l
ldd命令发现系统主要命令都被注入可疑的so文件
ldd /bin/ps
查找符合条件的字符串
grep
查看定时任务
cat /etc/passwd
for u in `cat /etc/passwd | cut -d”:” -f1`;do crontab -l -u $u;done
more /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/*
more /etc/cron.hourly/*
more /etc/cron.monthly/*
more /etc/cron.weekly/*
more /etc/anacrontab
more /var/spool/anacron/*
查看历史命令
history
cat ~/.bash_history
校验rpm软件包
rpm -Va
dpkg -verify
查找当前目录下,指定天数修改的指定类型文件
find / -mtime 0 -name *.jsp #一天以内修改的jsp文件
查找当前目录下,指定天数添加的指定类型文件
find / -ctime 0 -name *.jsp #一天以内创建的jsp文件
比较文件差异
diff -c
查看用户登录历史记录
last
查看用户登录失败记录
lastb
查看用户最近一次登录记录
lastlog
/var/log/messages 系统重要日志
/var/log/secure 记录验证和授权方面的信息,例如ssh登录、su切换用户、添加用户
/var/log/maillog 记录系统运行电子邮件服务器的日志
/var/log/cron 记录系统定时任务相关日志
/var/log/boot.log 记录系统启动时候的日志,包括自启动的服务
/var/log/dmesg 记录内核缓冲信息
/var/log/bmtp 记录所有登录失败的日志
/var/log/wtmp 用户每次登录进入和退出的事件永久记录
/var/log/lastlog 记录所有用户的最近信息
恢复已删除的 Linux 恶意软件二进制文件
cp /proc/<PID>/exe /tmp/recovered_bin
如何调查Linux 系统中的可疑进程
ps aux | grep bash
sudo gcore -o /home/panda/out/bash <pid>
ps -auxwwf
pstree
cd /proc/<PID>
ls -al /proc/<PID>
strings /proc/<PID>/comm
strings /proc/<PID>/cmdline
cp /proc/<PID>/exe /tmp/recovered_binary
sha1sum /tmp/recovered_binary
scp /proc/<PID>/exe user@ip_addr:~/recovered_binary
strings /proc/<PID>/environ
cat /proc/<PID>/environ | tr ‘\0’ ‘\n’
lsof -p <PID>
ss -0bp
cat /proc/<PID>/stack
ls /proc/<PID>fd
cd /proc/<PID>
ls -al fd
一些脚本工具和参考资料
bash script
https://github.com/djeada/Bash-Scripts
工具Incident Response Linux
https://github.com/vm32/Linux-Incident-Response
checklist
https://github.com/kk98kk0/emergency-response-checklist
busybox
unhide
https://github.com/YJesus/Unhide
安全的路很长,贵在坚持!
