linux系统应急响应排查手册
系统登陆日志
/var/log/wtmp //登陆成功的信息,包括用户登录、注销及系统的启动、停机的事件
/var/log/btmp //登陆失败的信息
/var/run/utmp //正在登陆的信息
/var/log/secure //系统认证信息日志,包括用户登陆成功、登陆失败日志
wtmp
last -f /var/log/wtmp
last
//登陆成功的信息,记录信息包括登陆用户、登陆IP、时间
1 表示登陆用户
2 其中pts/0、pts/1表示虚拟终端terminal,tty2表示新打开的终端teletype,:0表示本地
3 记录登陆IP地址,:0表示本地登陆,3.10.0-862.el7.x也表示本地
4 5 记录登陆开始时间到登陆结束时间
btmp
last -f /var/log/btmp
lastb
//记录登陆失败的信息,记录信息包括失败用户、尝试登陆IP、尝试登陆时间
1 登陆用户
2 表示登陆失败,ssh:notty表示no terminal
3 表示登陆IP
4 表示尝试登陆时间
utmp
last -f /var/run/utmp
//记录正在登陆用户信息
1 表示登陆用户
2 表示登陆虚拟终端
3 表示登陆IP
4 表示登陆时间
secure
cat /var/log/secure
//系统认证信息日志,包括用户登陆成功、登陆失败日志
Accepted 表示用户密码登陆成功
Failed 表示用户密码登陆失败
lastlog
lastlog
//表示所有用户最近的登陆信息
系统用户排查 排查高权限用户
awk -F: '{if($30)print $1}' /etc/passwd
排查可登陆用户
cat /etc/passwd | grep /bin/bash
查看空口令用户
awk -F: '{if($20)print $1}' /etc/shadow
启动项排查
ls -al /etc/rc.d
ls -al /etc/init.d/
cat /etc/rc.local
cat /etc/init.d/rc.local
/etc/rc.d
ls -al /etc/rc.d
/etc/init.d
ls -al /etc/init.d/
/etc/rc.local
cat /etc/rc.local
/etc/init.d/rc.local 任务计划
crontab -l
ls -al /var/spool/cron/
ls /etc/cron*
crontab -l
crontab -l
ls -al /var/spool/cron/
cat /var/spool/cron/root
/etc/cron*
ls /etc/cron*
进程排查
ps -aux //静态显示进程状态
top //动态显示进程状态
ps -aux
ps -aux //显示所有包含使用者的进程
ps -aux --sort==%cpu | head -10 //按照CPU大小排序
USER: 进程拥有者
PID: pid
%CPU: 占用的 CPU 使用率
%MEM: 占用的记忆体使用率
VSZ: 占用的虚拟记忆体大小
RSS: 占用的记忆体大小
TTY: 终端的次要装置号码 (minor device number of tty)
STAT: 该行程的状态:
D: 无法中断的休眠状态 (通常 IO 的进程)
R: 正在执行中
S: 静止状态
T: 暂停执行
Z: 不存在但暂时无法消除
W: 没有足够的记忆体分页可分配
<: 高优先序的行程
N: 低优先序的行程
L: 有记忆体分页分配并锁在记忆体内 (实时系统或捱A I/O)
START: 行程开始时间
TIME: 执行的时间
COMMAND:所执行的指令
top
top
网络状态排查
netstat -antpl
netstat -antpl
PID排查
losf -p 进程PID
losf