應急響應培訓Linux應急我們要做什么目錄contentsLinux檢查工具2Linux手工檢查項1手工檢查項總結1、系統檢查項1、查看系統版本：lsb_release

-a

//適用所有Linux發行版(RedHat、SUSE、Debian…)cat/etc/issue

//適用所有Linux發行版cat/etc/redhat-release

//適用Redhat系的Linuxcat/etc/os-release2、查看系統內核版本：1）cat/proc/version2）uname

-a2、賬號檢查項1、用戶信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash用戶名：密碼：用戶ID：組ID：用戶說明：家目錄：登陸之后shell注:

超級用戶ID=0，普通用戶ID=500-，偽用戶ID=1-4992、/etc/shadow3、/etc/sudoers除root帳號外，其他帳號是否存在sudo權限。如非管理需要，普通帳號應刪除sudo權限。賬號檢查項last #顯示所有用戶最近登陸信息，默認讀取/var/log/wtmp日志文件。格式：用戶名

終端(pts/tty)登陸IP/內核

星期月日開始時間-結束時間

持續時間lastlog

#顯示所有用戶最近一次登陸信息，默認讀取/var/log/lastlog日志文件。格式：用戶名

終端

登陸IP

最后登陸時間賬號檢查項3)

lastb #顯示登錄系統失敗的用戶信息，默認讀取/var/log/btmp日志文件格式：用戶名

終端

嘗試IP

星期月日開始時間-結束時間

持續時間3、操作歷史檢查項1、root的歷史命令history[root@localhost~]#history

>>history.txt2、/home下各帳號目錄的.bash_history，查看普通帳號的歷史命令[root@localhost~]#less

/home/xxx/.bash_history4、網絡檢查項netstat–antlp|

moreWEB服務：80、443、8080系統服務：21、22、23DB服務：3306、1521、63795、進程檢查項用top命令查看資源(cpu/mem)占用率，并按C鍵通過占用率排序進程檢查項1、psaux|

grep$pid|

grep-vgrep字段：用戶,進程ID,CPU使用比,內存使用比,虛擬內存,固定內存,狀態,啟動時間,使用時間,命令2、ps

-ef字段：用戶,進程ID,父進程ID,CPU使用率,系統啟動時間,終端,CPU使用時間,CMD進程檢查項3、用lsof命令，查找進程路徑lsof-i:1677 查看指定端口對應的程序lsof-p

1234 檢查pid號為1234進程調用情況4、用ls命令查看下pid所對應的進程文件路徑：ls-l

/proc/$PID/exe或file/proc/$PID/exe($PID為對應進程號)6、開機啟動檢查項啟動項排查：ls

-alt

/etc/init.d/ //查看常規啟動項ls

-alt

/etc/rc[0~6].d //查看其他運行級別的啟動項ls

-alt

/etc/rc.d/rc[0~6].d//rc[0~6].d中0~6

代表運行級別chkconfig–list7、定時任務檢查項1、查看是否有可疑任務：crontab–l或cat/etc/crontab

或more/etc/crontab2、查詢用戶的任務：crontab-uroot–l定時任務檢查項MinuteHourDayMonthWeek

command分鐘

小時

天

月

星期

命令0-59 0-231-311-120-6

command定時任務檢查項其他定時任務目錄文件：/etc/cron.d/* //存放系統級任務的任務文件/etc/cron.hourly/* //存放每小時任務/etc/cron.daily/* //存放每日任務/etc/cron.weekly/* //存放每周任務/etc/cron.monthly/* //存放每月任務/etc/anacrontab //存放系統級的任務/var/spool/cron/* //放各個用戶的任務文件計劃任務的日志：/var/log/cron*8、服務檢查項chkconfig

--list

查看服務自啟動狀態，可以看到所有的RPM包安裝的服務psaux|

grep

crond

查看當前服務9、異常文件檢查項查看指定目錄文件：

ls

/

-alt 或ls-alt|head-n

10查找777的權限的文件：

find

/

*

-perm777

或ls–l

/查找隱藏文件：

ls

–a

/異常文件檢查項查找訪問的文件：find/root/-atimen //n表示n天之前的“一天之內”被訪問過的文件find

/root/-atime+n //列出在n天之前（不包含n天本身）被訪問過的文件find/root/

-atime-n //列出在n天之內（包含n天本身）被訪問過的文件查找2天內新增的文件：

find

/root/

-ctime

-2//新增文件10、系統日志檢查項1、常見日志文件：/var/log/wtmp 記錄所有用戶最近登陸信息，用last命令查看/var/log/lastlog 記錄用戶最后一次登錄的信息，用lastlog命令查看/var/log/btmp 記錄登錄系統失敗的用戶信息，用lastb命令查看/var/log/utmp 記錄當前正登錄的用戶及其執行信息，用who或w命令查看/var/log/message

記錄系統重要信息(異常錯誤等)信息/var/log/secure記錄安全相關:驗證授權,賬號密碼信息，如ssh登陸su切換sudo授權/var/log/cron 記錄定時任務執行相關的日志信息/var/log/auth.log包含系統授權信息，包括用戶登錄和使用的權限機制等/var/log/userlog

記錄所有等級用戶信息的日志系統日志檢查項系統日志檢查項查看登錄成功的信息：cat

/var/log/secure查看登錄成功的IP：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|moregrep"Accepted"/var/log/auth.log|awk'{print$11}'|sort|uniq-c|sort-nr|

more11、防火墻檢查項查看本機關于IPTABLES的設置情況:

iptables-L

–n12、安裝包檢查項校驗所有的RPM軟件包,查找丟失的文件:rpm

-Va病毒后門查殺檢查項后門排查：Chkrootkit：

/Magentron/chkrootkit

Rkhunter：/installation/rkhunter

LnuxCheck：/al0ne/LinuxCheck手工檢查項總結目錄contentsLinux手工檢查項我們要做什么Linux檢查工具121Linux

檢查工具whohk：進程\網絡\啟動項\用戶等下載：/heikanet/whohk河馬：webshell查殺簡介：擁有海量webshell樣本和自主查殺技術，采用傳統特征+云端大數據雙引擎的查殺技術。查殺速度快、精度高、誤報低。兼容性：支持Windows、linux，支持在線查殺。地址：https:///河馬：webshell查殺河馬：webshell查殺河馬：webshell查殺360星圖：日志分析介紹：360星圖：360旗下開拓的站點日記分析工具，使用360站點衛士中心數據分析模塊，云+端聯動分析，轉變為全新的Web日記分析系統，