linux简单应急
linux简单应急
xiuwho 查看当前登录用户
入侵排查
1、查询特权用户特权用户(uid 为0)
awk -F: ‘$3==0{print $1}’ /etc/passwd
2、查询可以远程登录的帐号信息
awk ‘/$1|$6/{print $1}’ /etc/shadow
3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
more /etc/sudoers | grep -v “^#|^$” | grep “ALL=(ALL)”
4、 查看空口令账户
awk -F: ‘length($2)==0{print $1}’ /etc/shadow
5、 强制杀死进程
kill -9 PID
历史命令
通过.bash_history查看帐号执行过的系统命令
1、root的历史命令
history
2、打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令
端口
netstat -antlp|more
查看下pid所对应的进程文件路径,
运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号)
日志分析技巧:
1、定位有多少IP在爆破主机的root帐号:
grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c
爆破用户名字典有哪些
grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr
2、登录成功的IP有哪些:
grep “Accepted “ /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:
grep “Accepted “ /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’
