Linux应急响应的常用命令

  • A+
所属分类:安全博客
摘要

linux Linux应急响应的常用命令筛选暴力破解 grep -o "Failed password" /var/log/secure|uniq -c

linux

Linux应急响应的常用命令

  • 筛选暴力破解 grep -o "Failed password" /var/log/secure|uniq -c

  • 定位具体攻击ip grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

  • 筛选登录成功过的ip grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

  • 检查特权用户情况 awk -F: '$3==0{print $1}' /etc/passwd

  • 检查可以远程登录的帐号 awk '/$1|$6/{print $1}' /etc/shadow

  • 检查其他帐号是否存在sudo权限 more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"

  • 检查历史命令 histroy

  • 分析可疑端口、IP、PID netstat -antlp|more

  • 定位可疑进程 ps aux | grep pid

  • 定位pid文件路径 ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)

  • 检查启动项 more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

  • 检查定时任务
    /var/spool/cron/*
    /etc/crontab
    /etc/cron.d/*
    /etc/cron.daily/*
    /etc/cron.hourly/*
    /etc/cron.monthly/*
    /etc/cron.weekly/
    /etc/anacrontab
    /var/spool/anacron/*

  • 检查异常文件 find /opt -iname "*" -atime 1 -type f

  • 检查服务自启 chkconfig --list

来源:http://www.safe6.cn/

本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

Linux应急响应的常用命令

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2021-04-15

相关推荐: 【Bat】扫描内网指定用户能获取管理权限的机器

一个BAT脚本,自动获取内网机器列表,自动判断在线,自动扫描然后记录到日志....... 自动修正域名,自动判断域。。。不废话了,发代码 =========================user.txt========================= 格式…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: