linux应急响应命令

https://www.saulgoodman.cn/2020/07/03/penetrationtest-blue-1/

topps -auxlsof

/etc/init.d/*/etc/rc*.d//etc/rc.local

ls -a /var/spool/cron/ls -altr /etc/cron.daily/cron.daily,每天执行的脚本还有hourly，monthly，weekly

lastlastb

echo $LD_PRELOAD//如果有动态链接库，那么看看路径之前的文件有没有别篡改，是不是正常LD_PRELOAD可用来bypass disable function,还可以用来提权。

who 

awk -F: '$3==0{print $1}' /etc/passwd

awk '/$1|$6/{print $1}' /etc/shadow

more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

useradd  添加用户usermod -L user    禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头userdel user       删除user用户userdel -r user    将删除user用户，并且将/home目录下的user目录一并删除

historyhistory -c echo > /.bash_history

runlevel

/etc/rc.local/etc/rc.d/rc[0~6].d

ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/

crontab -l   列出某个用户cron服务的详细内容Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/rootcrontab -r   删除每个用户cront任务(谨慎：删除所有的计划任务)crontab -e   使用编辑器编辑当前的crontab文件 如：*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

每天运行 /home/backup.sh脚本：vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh当机器在 backup.sh 期望被运行时是关机的，anacron会在机器开机十分钟之后运行它，而不用再等待 7天。

/var/spool/cron/* /etc/crontab/etc/cron.d/*/etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*

chkconfig [--level 运行级别] [独立服务名] [on|off]chkconfig –level  2345 httpd on  开启自启动chkconfig httpd on （默认level是2345）

修改/etc/re.d/rc.local 文件  加入 /etc/init.d/httpd start

使用ntsysv命令管理自启动，可以管理独立服务和xinetd服务

chkconfig  --list  查看服务自启动状态，可以看到所有的RPM包安装的服务ps aux | grep crond 查看当前服务查看服务安装位置 ，一般是在/user/local/service httpd start搜索/etc/rc.d/init.d/  查看是否存在

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性2、得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？可以使用find命令来查找，如 find /opt -iname "*" -atime 1 -type f  找出 /opt 下一天前访问过的文件3、针对可疑文件可以使用stat进行创建修改时间。

定位有多少IP在爆破主机的root帐号：    grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more定位有哪些IP在爆破：grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c爆破用户名字典是什么？ grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr登录成功的IP有哪些：grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more登录成功的日期、用户名、IP：grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

使用方法：wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gztar zxvf chkrootkit.tar.gzcd chkrootkit-0.52make sense#编译完成没有报错的话执行检查./chkrootkit

./rpm -Va > rpm.log

验证内容中的8个信息的具体内容如下：  S         文件大小是否改变  M         文件的类型或文件的权限（rwx）是否被改变  5         文件MD5校验是否改变（可以看成文件内容是否改变）  D         设备中，从代码是否改变  L         文件路径是否改变  U         文件的属主（所有者）是否改变  G         文件的属组是否改变  T         文件的修改时间是否改变

Github项目地址：https://github.com/grayddq/GScanhttps://github.com/ppabc/security_checkhttps://github.com/T0xst/linux