系统排查
系统基本信息 CPU 信息
CPU 信息:lscpu
操作系统信息
操作系统信息:uname -a
操作系统信息:cat /proc/version
模块信息
模块信息:lsmod
账户信息 系统所有账户
系统所有账户:cat /etc/passwd
超级权限账户
超级权限账户:awk -F: '{if($3==0)print $1}' /etc/passwd
可登录账户
可登录账户:cat /etc/passwd | grep '/bin/bash'
最近20条登录失败信息
最近20条登录失败信息:lastb | head -n 20
所有账号最后登录信息
所有账号最后登录信息:lastlog
最近20条登录信息
最近20条登录信息:last | head -n 20
当前登录账号信息
当前登录账号信息:who
空口令账号
空口令账号:awk -F: '{if($2==0)print $1}' /etc/shadow
启动项
启动项:ls -lat /etc/init.d/
启动项:cat /etc/init.d/rc.local
启动项:cat /etc/rc.local
计划任务 当前计划任务
当前计划任务:crontab -l
Linux Crontab 计划任务
/var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名
/etc/crontab 这个文件负责调度各种管理和维护任务。
/etc/cron.d/ 这个目录用来存放任何要执行的crontab文件或脚本。
我们还可以把脚本放在/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly目录中,让它每小时/天/星期、月执行一次。
crontab [-u username]//省略用户表表示操作当前用户的crontab
-e(编辑工作表)
-l(列出工作表里的命令)
-r(删除工作作)
我们用crontab -e进入当前用户的工作表编辑,是常见的vim界面。每行是一条命令。
crontab的命令构成为 时间+动作,其时间有分、时、日、月、周五种,操作符有
* 取值范围内的所有数字
/ 每过多少个数字
- 从X到Z
,散列数字
实例1:每1分钟执行一次myCommand
* * * * * myCommand
实例2:每小时的第3和第15分钟执行
3,15 * * * * myCommand
实例3:在上午8点到11点的第3和第15分钟执行
3,15 8-11 * * * myCommand
实例4:每隔两天的上午8点到11点的第3和第15分钟执行
3,15 8-11 */2** myCommand
实例5:每周一上午8点到11点的第3和第15分钟执行
3,15 8-11 * * 1 myCommand
实例6:每晚的21:30重启smb
30 21 * * * /etc/init.d/smb restart
实例7:每月1、10、22日的4 : 45重启smb
45 4 1,10,22 * * /etc/init.d/smb restart
实例8:每周六、周日的1 : 10重启smb
10 1 * * 6,0 /etc/init.d/smb restart
实例9:每天18 : 00至23 : 00之间每隔30分钟重启smb
0,30 18-23 * * * /etc/init.d/smb restart
实例10:每星期六的晚上11 : 00 pm重启smb
0 23 * * 6 /etc/init.d/smb restart
实例11:每一小时重启smb
0 */1 * * * /etc/init.d/smb restart
实例12:晚上11点到早上7点之间,每隔一小时重启smb
0 23-7/1 * * * /etc/init.d/smb restart
创建、编辑计划任务的命令为crontab -e
查看当前计划任务的命令为crontab -l
删除某条计划任务的命令为crontab -r
另外,如果您是以管理员的身份登录的系统linux系统漏洞扫描,还可以在crontab命令中加上-u参数来编辑他人的计划任务。
crontab命令的参数及其作用
参数作用
-e编辑计划任务
-u指定用户名称
-l列出任务列表
-r删除计划任务
分、时、日、月、星期 命令
如果有些字段没有被设置,则需要使用星号(*)占位
使用crond设置任务的参数字段说明
字段说明
分钟取值为0~59的整数
小时取值为0~23的任意整数
日期取值为1~31的任意整数
月份取值为1~12的任意整数
星期取值为0~7的任意整数,其中0与7均为星期日
命令要执行的命令或程序脚本
在crond服务的配置参数中,一般会像Shell脚本那样以#号开头写上注释信息,这样在日后回顾这段命令代码时可以快速了解其功能、需求以及编写人员等重要信息。
计划任务中的“分”字段必须有数值,绝对不能为空或是*号,而“日”和“星期”字段不能同时使用,否则就会发生冲突。
cron是Linux中默认的计划任务。使用cronlinux系统介绍,你可以安排一个计划(比如:命令或者shell脚本)周期性地运行或者在指定的分钟、小时、天、周、月等特定时间运行。cron在你安排不同的常规维护任务时是很有用的,比如周期性地备份、日志循环、检查文件系统、监测磁盘空间等等
每个cron任务的格式如下。
查看计划任务文件
查看计划任务文件:ls -lat /etc/cron*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/*
/etc/anacrontab
进程排查 网络连接
网络连接:netstat -antlp
查找对应运行程序
查找对应运行程序:ls -lat /proc/20583
查看程序打开文件
查看程序打开文件:lsof -p 20583
结束进程
结束进程:kill -9 20583
Linux kill命令
Linux kill 命令用于删除执行中的程序或工作。
linux 的 kill 命令是向进程发送信号,kill 不是杀死的意思,-9 表示无条件退出,但由进程自行决定是否退出,这就是为什么 kill -9 终止不了系统进程和守护进程的原因。
Linux pkill 命令
Linux pkill 用于杀死一个进程,与 kill 不同的是它会杀死指定名字的所有进程,类似于 killall 命令。
kill 命令杀死指定进程 PIDlinux系统漏洞扫描,需要配合 ps 使用嵌入式linux,而 pkill 直接对进程对名字进行操作,更加方便。
pkill -9php-fpm//结束所有的 php-fpm 进程
Linux killall 命令
Linux killall 用于杀死一个进程,与 kill 不同的是它会杀死指定名字的所有进程。
kill 命令杀死指定进程 PID,需要配合 ps 使用,而 killall 直接对进程对名字进行操作,更加方便。
killall -9 php-fpm//结束所有的 php-fpm 进程
查看文件属性
查看文件属性:lsattr filename
移除 i 属性
移除 i 属性:chattr -i filename
查看隐藏进程
ps -ef | awk '{print}' | sort -n | uniq > 1
ls /proc | sort -n | uniq > 2
diff 1 2
查看资源占用率较高的进程
查看资源占用率较高的进程:top
服务排查 系统运行服务
系统运行服务:chkconfig –list
Centos7 查看自启动列表systemctl list-unit-files以及设置服务自启动
系统运行服务:systemctl list-unit-files
所有服务状态
所有服务状态:service --status-all
所有服务状态:
显示所有的服务状态—空格翻页 q推出
systemctl list-units --type service –all
查看启动成功的服务列表
systemctl list-unit-files | grep enabled
查看启动失败的服务列表
systemctl --failed
查看所有服务的状态—空格翻页 q推出
systemctl list-unit-files --type service
文件痕迹排查 敏感目录
/tmp
/usr/bin/
/usr/sbin/
~/.ssh/
/etc/ssh/
时间点查找 find:在指定目录下查找文件
-type b/d/c/p/l/f:查找块设备、目录、字符设备、管道、符号链接、普通文件
-mtime -n +n:按文件更改时间来查找文件,-n 指 n 天以内,+n 指 n 天前。
-atime -n +n:按文件访问时间来查找文件,-n 指 n 天以内,+n 指 n 天前。
-ctime -n +n:按文件创建时间来查找文件,-n 指 n 天以内,+n 指 n 天前。
查找一天内新增的 sh 文件
查找一天内新增的 sh 文件:find / -ctime 0 -name "*.sh"
查看排序后前10行的内容
查看排序后前10行的内容:ls -lat | head -n 10
排查文件创建、修改、访问时间
排查文件创建、修改、访问时间:stat /etc/passwd
特殊文件 特殊权限文件
特殊权限文件:find /tmp -perm 777
WebShell
WebShell:find /var/www/ -name "*.php"
系统命令检测
系统命令检测:ls -lat /bin/ /sbin/
系统命令检测:ls -lah /bin/ /sbin/
后门检测
后门检测:chkrootkit -q | grep INFECTED
SUID 程序排查
SUID 程序排查:find / -type f -perm -04000 -ls -uid 0 2>/dev/null
日志分析 日志概述 /var/log/
/var/log/wtmp 登录进入、退出、数据交换、关机和重启,即last
/var/log/cron 计划任务有关的日志信息
/var/log/messages 系统启动后的信息和错误日志
/var/log/apache2/access.log Apache 访问日志
/var/log/auth.log 系统授权信息,包括账号登录和使用的权限机制
/var/log/userlog 所有等级账号信息日志
/var/log/vftpd.log FTP 日志
/var/log/lastlog 登录的账号,也可以使用命令 lastlog 查看
/var/log/secure 大多数应用输入的账号和密码,以及登录成功与否
/var/log/faillog 登录系统失败的账号信息
日志分析 grep sed sort awk
应急响应溯源反制记录单
应用系统名称
主管单位
主要负责人
运维单位
直接负责人
应用系统url
所属网络
外网IP
内网IP
攻击IP
攻击时间
发现时间
阻断时间
应用系统漏洞存在位置
事件类型
后门位置
处置措施
青藤扫描结果
涉及主机情况
系统排查
异常任务
异常驱动
异常模块
异常程序
异常账号
异常登录
异常启动项
异常任务计划
进程排查
异常进程
异常连接
服务排查
异常服务
文件痕迹排查
敏感目录
时间点查找
特殊文件
系统命令
内存后门检测
历史命令
WebShell
日志分析
系统日志
应用日志
影响危害
结论