Linux故障排查思路及常⽤命令(收藏)Liunx应急⼀直都是安全⾏业中的重点,
由于是全命令⾏界⾯,排查起来也没那么⽅便,
也⼀直想做这⽅⾯的笔记,今天抽空来总结⼀下。
⽬录:
现场环境
如果是Linux系统的话,见过最多的是CentOS ,Linux是全命令界⾯的,
如果是Windows系统的话,⼀般是Windows server
常见应急问题
⼤多数应急常见的问题都是挖矿,或者是被植⼊菠菜
⼩部分是中了病毒,如果是病毒的话,看看360、腾讯有没有什么
解密⼯具,
如果没有的话就重装系统吧,⾃求多福 (逃。。
排查思路及⽅法
本节将讲解⼀些基本的流程,以及⼀些常⽤的命令。
基本流程
1. 接到应急指令后,⼀般都需要到客户现场去处理的,最好带上电脑
和笔记本。
2. 到达现场后,跟客户沟通,我⽅需要确认⼀些信息(我在Windows
安全应急的第三篇有讲解⼀些),
⽅便定(shuai)位(guo)问题,后⾯客户可能会让你上机操作,或者是
使⽤你⾃⼰电脑登录⽬标机器查问题。
3. ⽆论是挖矿还是菠菜,流程都差不多,
出问题 –> 解决问题 –> 编写报告
有句传⾔道是:扫描⼀分钟,报告⼀个钟,
如果是菠菜的话,那要多注意注意是不是修改了⽹站配置⽂件还是直接在⽹页上植⼊⼊的链接。
进程排查命令
整理⼀些基本的命令,使⽤不分先后顺序
这⾥只简单说明,
服务器被⼊侵后,攻击者难免会利⽤恶意程序来达到⾃⼰的⽬的。
1. 查看当前系统状态(top)
top命令:可以持续的监视进程的信息。
挖矿应急通常优先使⽤top命令来查看系统进程,
⼀般挖矿病毒站⽤CPU⽐较⼤
2. 查看当前系统进程信息(ps)
ps命令:可以查看进程的瞬间信息。
常⽤参数:
1. -a:显⽰现⾏终端机下的所有程序,包括其他⽤户的程序。
2. -e:列出程序时,显⽰每个程序所使⽤的环境变量。
3. -f:显⽰UID,PPIP,C与STIME栏位。
3. 查看⾮root运⾏的进程(ps)
命令:
ps -U root -u root -N
4. 查看⽤户root运⾏的进程(ps)
命令:
ps -u root
5. 查看有没有奇怪进程(ps)
命令:
ps -aef | grep inetd
grep 是搜索命令
inetd 程序是⼀个Linux守护进程.
6. 检测隐藏进程(ps)
命令:
ps -ef | awk '{print}' | sort -n |uniq >1
命令:
ls /proc | sort -n |uniq >2
sort 命令将⽂本⽂件内容加以排序,可针对⽂本⽂件的内容,以⾏为单位来排序。-n 参数依照数值的⼤⼩排序。uniq 命令⽤于检查及删除⽂本⽂件中重复出现的⾏列,⼀般与 sort 命令结合使⽤。
7. 检测系统守护进程(ls)
命令:
ls /etc/crontab
任务及⽤户活动排查命令
说明:机器使⽤过程中难免会留下⼀些痕迹
1. 查看当前有谁登陆在服务器上(who)
who 命令查看当前登录⽤户(tty本地登陆 pts远程登录)
命令:
who
w 命令查看系统信息,想知道某⼀时刻⽤户的⾏为
2. 查看当前登陆⽤户的IP信息(who)
命令:
who -m
3. 查看近期⽤户登陆情况(last)
命令:
last -n 5    ## -n 5 表⽰输出5条
4. 查看历史命令(history)
命令:
history 5    ##  5 表⽰输出最近使⽤的5条命令
grep命令查看进程
5. 查看空⼝令账号(awk)
awk是⼀种编程语⾔,⽤于对⽂本和数据进⾏处理的语法:awk [options] ‘pattern{action}’ file
命令:
awk -F: '($2=="")' /etc/shadow
没有的话啥都不输出
在没有options和pattern的情况下,可以使⽤cat命令
6. 查看uid为0的账号(awk)
命令:
awk -F: '($3==0)' /etc/passwd
7. 查看uid为0的账号(grep)
命令:
grep -v -E "^#" /etc/passwd | awk -F: '$3==0{print $1}'
8. 查看进程树是否所有异常进程存在⼀个⽗进程、判断进程的⽗⼦关系(pstree)命令:
pstree -p
⽹络排查命令
说明:挖矿病毒避免不了要跟主机通信
1. 列出本机所有的连接和监听的端⼝,查看有没有⾮法连接(netstat)
netstat 命令⽤来打印Linux中⽹络系统的状态信息。
常⽤参数:
1. -a或–all:显⽰所有连线中的Socket。
2. -c或–continuous:持续列出⽹络状态。
3. -i或–interfaces:显⽰⽹络界⾯信息表单。
4. l或–listening:显⽰监控中的服务器的Socket。
5. -n或–numeric:直接使⽤ip地址,⽽不通过域名服务器。
6. -t或–tcp:显⽰TCP传输协议的连线状况。
7. -u或–udp:显⽰UDP传输协议的连线状况。
命令:
netstat -lntp

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。