记录几个常用命令

zip -r test.zip ./*    #将当前目录下的所有文件和文件夹全部压缩成test.zip文件,-r表示递归压缩子目录下所有文件

unzip -n test.zip -d /tmp   #将压缩文件text.zip在指定目录/tmp下解压,如果已有相同的文件存在,要求unzip命令不覆盖原先的文件。

其它详见 

useradd 命令详解 https://blog.csdn.net/yexiangCSDN/article/details/80734191

 

查找命令 find . -type f -name m*  查找以m开头的文件  更多 https://blog.csdn.net/hyy147/article/details/119729439

 

 

腾讯云 Linux 入侵类问题排查思路 https://cloud.tencent.com/document/product/296/9604

一、检查隐藏帐户及弱口令

  1. 检查服务器系统及应用帐户是否存在 弱口令
  2. 使用last命令查看服务器近期登录的帐户记录,确认是否有可疑 IP 登录过机器
1.命令last 显示用户或终端登录情况
2.命令:last -R 显示用户或终端登录情况,同时省略hostname的栏位
3.命令:last usename 如命令:last root,展示root用户的登入讯息
4.命令:last tty 限制登入讯息包含的终端代号
 
  3.通过less /var/log/secure|grep 'Accepted'命令,查看是否有可疑 IP 成功登录机器
  4.检查系统是否采用 默认管理端口
  5.检查/etc/passwd文件,看是否有非授权帐户登录
 
 

二、检查恶意进程及非法端口

  1. 运行netstat –antp,查看服务器是否有未被授权的端口被监听,查看下对应的 pid。
  2. 使用ps -eftop命令查看是否有异常进程
运行netstat -antp 查看服务器是否有未被授权的端口被监听

netstat -antp 查看端口命令,kill关闭进程

netstat -antp  #查看系统的所有端口
netstat -antp | grep smb #查找包含smb端口
netstat -antp | grep http #查找包含http端口
netstat -antp | grep 80 #关闭 使用80端口的服务

三、检查恶意程序和可疑启动项

  1. 使用chkconfig --listcat /etc/rc.local命令,查看开机启动项中是否有异常的启动服务。
  2. 进入 cron 文件目录,查看是否存在非法定时任务脚本。
    • 检查说明:查看/etc/crontab/etc/cron.d/etc/cron.dailycron.hourly/cron.monthlycron.weekly/是否存在可疑脚本或程序

四、检查第三方软件漏洞

上文来自 https://cloud.tencent.com/document/product/296/9604

posted on 2021-11-07 19:51  Redwei  阅读(33)  评论(0编辑  收藏  举报