微信公众号:绝对防御局
有任何的问题或建议,欢迎公众号留言;
Linux应急检测命令备忘表,从进程、目录、文件、用户、日志进行查询搜索,仅供参考。
建议有些命令附带busybox 执行,最好方式还是查看特定文件而不单是执行命令 
Processes
查看占用大量CPU/RAM的进程
top
进程树
ps -auxwf
开放的网络端口
netstat -nalp
netstat -plant
ss -a -e -i
lsof [many opitons]
查找被删除但还在运行的程序
ls -alR /proc/*/exe 2> /dev/null |grep deleted
进程相关名称及命令
strings /proc/<PID>/comm
strings /proc/<PID>/cmdline
进程实际路径
ls -al /proc/<PID>/exe
进程执行时环境变量
strings /proc/<PID>/environ
查看所有进程执行目录
ls -alR /proc/*/cwd
查看在tmp dev 目录下执行的程序
ls -alR /proc/*/cwd 2> /dev/null | grep tmp
ls -alR /proc/*/cwd 2> /dev/null | grep dev
Directories
需要检查的目录
/tmp, /var/tmp, /dev/shm, /var/run,
/var/spool, user home directories
向目录追加 / 指示符
ls -alp
显示隐藏目录
find / -type -d -name ".*"
Files
查找设置属性为不可修改的文件
lsattr / -R 2> /dev/null | grep "----i"
查找设置为SUID/SGUID的文件
find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} ;
查找没有用户/组名称的文件
find / ( -nouser -o -nogroup ) -exec ls -lg {} ;
列出当前目录中的所有文件类型
file * -p
查找可执行文件
find / -type f -exec file -p '{}' ; | grep ELF
find /tmp -type f -exec file -p '{}' ; | grep ELF
最近一天有修改(modified/created)的文件
find / -mtime -1
可存放后门持久化的目录
/etc/rc.local, /etc/initd, /etc/rc*.d, /etc/modules, /etc/cron*, /var/spool/cron/*
查找已经修改的包文件
rpm -Va | grep ^..5.
debsums -c
Users
查找所有ssh公钥文件
find / -name authorized_keys
查找所有用户历史日志文件
find / -name .*history
查找历史日志文件重定向到/dev/null
ls -alR / 2> /dev/null | grep .*history | grep null
查看root用户/组
grep ":0:" /etc/passwd
检测sudoers 文件
cat /etc/sudoers
cat /etc/group
检查计划任务
crontab -l
atq
systemctl list-timers --all
Logs
查找大小为0的文件
ls -al /var/log/*
审计登录日志
utmpdump /var/log/wtmp
utmpdump /var/run/utmp
utmpdump /var/log/btmp
last
lastb
查找包含有二进制文件的日志
grep [[:cntrl:]] /var/log/*.log
Referer
Linux.Compromise.Detection.Command.Cheatsheet.pdf
可私信 linux-detection 获取表格pdf链接
感谢关注
原文始发于微信公众号(绝对防御局):Linux应急响应检测命令备忘表
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论