大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元售后保障童叟无欺

linux应急响应检查项_centos7查看服务状态

上一篇文章说到Windows的应急响应排查，本篇文章就来说说Linux的应急响应排查。

首先，前期交互这部分的内容还是不能少的，毕竟掌握的信息越多，排查的思路就越清晰。

Part7 查看制定文件夹七天内被修改过的文件

Part8 扫描主机驱动程序

Part9 查看攻击者是否在authorized_keys添加ssh私钥

Part10 日志排查

Part11 登陆排查

Part12 启动项排查

Part1 熟悉主机环境

uname -a
cat /proc/version
lsb_release -a

linux应急响应检查项_centos7查看服务状态

首先，先对排查主机的基本信息有一个了解。

Part2 运行进程排查

首先熟悉一下ps命令的参数：

ps [选项]
- -e 显示所有进程。
- -f 全格式。
- -h 不显示标题。
- -l 长格式。
- -w 宽输出。
- a 显示终端上的所有进程，包括其他用户的进程。
- r 只显示正在运行的进程。
- u 以用户为主的格式来显示程序状况。
- x 显示所有程序，不以终端机来区分。
ps -ef

linux应急响应检查项_centos7查看服务状态

参数含义：
- 1.UID 用户ID
- 2.PID 进程ID
- 3.PPID 父进程ID
- 4.C CPU占用率
- 5.STIME 开始时间
- 6.TTY 开始此进程的TTY—-终端设备
- 7.TIME 此进程运行的总时间
- 8.CMD 命令名
ps aux

linux应急响应检查项_centos7查看服务状态

参数含义：
- USER //用户名
- %CPU //进程占用的CPU百分比
- %MEM //占用内存的百分比
- VSZ //该进程使用的虚拟內存量（KB）
- RSS //该进程占用的固定內存量（KB）（驻留中页的数量）
- STAT //进程的状态
- START //该进程被触发启动时间
- TIME //该进程实际使用CPU运行的时间
top （动态查看进程）

linux应急响应检查项_centos7查看服务状态

pstree（树形结构显示进程之间的关系）

linux应急响应检查项_centos7查看服务状态

通过进程运行的命令、资源占用、位置等来查找可疑进程。查找到可以进程后可以使用ll /proc/[进程pid]来获取进程运行的路径。

linux应急响应检查项_centos7查看服务状态

查找到可以进程后可以使用kill -9 [进程pid]来杀死进程。

ps -p [pid] -o lstart（查看进程开放的时间）

linux应急响应检查项_centos7查看服务状态

pstree -h [pid] -p -a 查看某个pid的进程树

linux应急响应检查项_centos7查看服务状态

Part3 端口开放检查

netstat -antpl（查看开放端口）

linux应急响应检查项_centos7查看服务状态

可以通过判断开放的异常端口来进行排查，或通过state字段来判断有没有端口进行网络连接。

lsof -i（查看正在进行的网络连接）

linux应急响应检查项_centos7查看服务状态

lsof -p [pid]查看进程PID打开的文件

linux应急响应检查项_centos7查看服务状态

lsof -c [进程名]查看该进程打开的文件

linux应急响应检查项_centos7查看服务状态

lsof -i:[端口号]查看该端口对应的进程
fuser -n tcp [端口号]查看该端口对应的进程pid

Part4 检查主机服务

service –status-all（枚举主机的所有服务）

linux应急响应检查项_centos7查看服务状态

Part5 检查历史命令

history

linux应急响应检查项_centos7查看服务状态

cat ~/.bash_history

Part6 查看计划任务

crontab -l

linux应急响应检查项_centos7查看服务状态

cat /etc/anacrontab 查看异步定时任务
more /var/log/cron 查看计划任务日志
more /var/spool/cron/*

Part7 查看制定文件夹七天内被修改过的文件

find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -alh

Part8 扫描主机驱动程序

lsmod

linux应急响应检查项_centos7查看服务状态

Part9 查看攻击者是否在authorized_keys添加ssh私钥

ll ~/.ssh

linux应急响应检查项_centos7查看服务状态

Part10 日志排查

/var/log/message 包括整体系统信息
/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/xferlog(vsftpd.log) 记录Linux FTP日志
/var/log/lastlog 记录登录的用户，可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码，登录成功与否
/var/log/wtmp 记录登录系统成功的账户信息，等同于命令last
/var/log/faillog 记录登录系统不成功的账号信息，一般会被黑客删除如果开启了一些服务，也需要对服务运行的日志进行排查

Part11 登陆排查

who (查看当前登录的用户)

linux应急响应检查项_centos7查看服务状态

w(显示已登陆的用户，且在执行的命令)

linux应急响应检查项_centos7查看服务状态

last (查看登录成功的用户)

linux应急响应检查项_centos7查看服务状态

lastb(查看最近登录失败的用户)

linux应急响应检查项_centos7查看服务状态

lastlog (查看所有用户最近登录的时间)

linux应急响应检查项_centos7查看服务状态

cat /etc/passwd(查看用户信息)

linux应急响应检查项_centos7查看服务状态

排查passwd时，注意查看可登录shell的用户，即：shell为/bin/bash

awk -F: ‘$3==0{print $1}’ /etc/passwd #查看超级用户(uid=0)

linux应急响应检查项_centos7查看服务状态

Part12 启动项排查

chkconfig –list 列出所有开机启动项
主要排查的启动项有：
- /etc/rc.d/rc
- /etc/rc
- /etc/rc.local
- /etc/rc.d/rc.local
- /etc/rc.d/rc
- /etc/init/*.conf
- /etc/rc$runlevel.d/
- /etc/profile
- /etc/profile.d/

以上就是本篇文章的全部内容，如有填充，请大家点出。

“D&X 安全实验室”

专注渗透测试技术

全球最新网络攻击技术

linux应急响应检查项_centos7查看服务状态

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/193386.html原文链接：https://javaforall.net

linux应急响应检查项_centos7查看服务状态

上一篇文章说到Windows的应急响应排查，本篇文章就来说说Linux的应急响应排查。

首先，前期交互这部分的内容还是不能少的，毕竟掌握的信息越多，排查的思路就越清晰。

Part1 熟悉主机环境

Part2 运行进程排查

Part3 端口开放检查

Part4 检查主机服务

Part5 检查历史命令

Part6 查看计划任务

Part7 查看制定文件夹七天内被修改过的文件

Part8 扫描主机驱动程序

Part9 查看攻击者是否在authorized_keys添加ssh私钥

Part10 日志排查

Part11 登陆排查

Part12 启动项排查

相关推荐

JAVA：定时器的三种方法（详细注解）

floyed详解[通俗易懂]

Transformer模型详解

RuntimeException 子类

xcode armv6 armv7 armv7s arm64

Java 高并发解决方案（电商的秒杀和抢购）

发表回复