前言
在进行应急的时候有一些使用频率很高的命令,本篇文章记录一下这些常见的命令,以便在应急的时候可以及时查看。
常见的命令
系统排查
内核:uname -a运行时间:uptime/timedatectl
登录用户
awk -F: '($3 == "0"&& $1!="root") {print}' /etc/passwdawk -F: '($4 == "0"&& $1!="root" && $1!="sync" &&$1!="shutdown" && $1!="halt" &&$1!="operator") {print}' /etc/passwd
具有shell环境用户-异常用户
awk -F: '{if($7!~"nologin"&& $7!~"shutdown" && $7!~"halt"&&$7!~"false" && $7!~"sync") print}' /etc/passwdsudo授权信息
cat /etc/sudoers | grep -Ev "^$|#"登录信息
last /var/log/wtmplastlog /var/log/utmplastb /var/log/btmp
快速查找文件
查找24小时内别修改的php文件:find ./ -mtime 0 -name ".php"查找72小时内新增的文件 find ./ ctime 2查找777权限的文件 find ./ .jsp -perm 4777查找以.开头的隐藏文件 ls -ar |grep "^."按照属主查找文件:find ./ -user apache -name ".php"
日志排查
查看当天有多少个IP访问:awk '{print $1}' access_log |sort|uniq -c|wc -l查看某一个页面别访问的次数:grep "/index.php" log_file | wc -l列出当天访问次数最多的IP:cut -d- -f 1 log_file|uniq -c | sort -rn | head -20将某个IP访问的页面数进行从小到大排序:awk '{++S[$1]} END {for (a in S) print S[a],a}' access_log | sort -n查询某个IP访问了那些页面:grep ^111.111.111.111 log_file| awk '{print $1,$7}'
原文始发于微信公众号(信安路漫漫):应急响应常用命令手册
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论