Linux入侵排查
网络排查:
netstat -pantu:查看当前端口开放情况
top:实时状态
ps:瞬时状态
ps -ef:详细显示进程状态信息
lsof:详细显示进程打开的文件
用户排查:
/etc/passwd:排查是否存在用户ID为0,组ID为0的可疑用户,并确定该用户是否可登录
/etc/shadow:linux的影子文件,记录了密码相关内容
/etc/sudoers:记录相关可执行sudo切换用户的命令
lastb:用户登录信息
文件排查:
stat filename
mtime:该时间若与攻击时间相同,则需注意。该文件有可能是攻击者创建的文件
ctime:
atime:
文件时间搜索:mtime
find /usr/bin/ -type f -newermt "2021-02-05 00:00" -a -not -newermt "2021-02-05 23:59"
持久化操作:
Centos6启动脚本存放位置:/etc/rc.d/init.d
服务查看
systemctl list-unit-files | grep centos
ll /etc/rc.d/rc3.d/:分析排查启动服务
chkconfig:查看开机自启
Centos7启动脚本存放位置:/etc/rc.d/rc.local
crontad:计划任务
crontab -l -u root
本文来自博客园,作者:admax11,转载请注明原文链接:https://www.cnblogs.com/ctfisnull/p/16258739.html