记录几个常用命令
zip -r test.zip ./* #将当前目录下的所有文件和文件夹全部压缩成test.zip文件,-r表示递归压缩子目录下所有文件
unzip -n test.zip -d /tmp #将压缩文件text.zip在指定目录/tmp
下解压,如果已有相同的文件存在,要求unzip命令不覆盖原先的文件。
其它详见
useradd 命令详解 https://blog.csdn.net/yexiangCSDN/article/details/80734191
查找命令 find . -type f -name m* 查找以m开头的文件 更多 https://blog.csdn.net/hyy147/article/details/119729439
腾讯云 Linux 入侵类问题排查思路 https://cloud.tencent.com/document/product/296/9604
一、检查隐藏帐户及弱口令
- 检查服务器系统及应用帐户是否存在 弱口令
- 使用
last
命令查看服务器近期登录的帐户记录,确认是否有可疑 IP 登录过机器
1.命令last 显示用户或终端登录情况
2.命令:last -R 显示用户或终端登录情况,同时省略hostname的栏位
3.命令:last usename 如命令:last root,展示root用户的登入讯息
4.命令:last tty 限制登入讯息包含的终端代号
3.通过
less /var/log/secure|grep 'Accepted'
命令,查看是否有可疑 IP 成功登录机器 4.检查系统是否采用 默认管理端口
5.检查
/etc/passwd
文件,看是否有非授权帐户登录二、检查恶意进程及非法端口
- 运行
netstat –antp
,查看服务器是否有未被授权的端口被监听,查看下对应的 pid。 - 使用
ps -ef
和top
命令查看是否有异常进程
运行
netstat -antp
查看服务器是否有未被授权的端口被监听netstat -antp 查看端口命令,kill关闭进程
netstat -antp #查看系统的所有端口
netstat -antp | grep smb #查找包含smb端口
netstat -antp | grep http #查找包含http端口
netstat -antp | grep 80 #关闭 使用80端口的服务
更多 Netstat 命令详解
三、检查恶意程序和可疑启动项
- 使用
chkconfig --list
和cat /etc/rc.local
命令,查看开机启动项中是否有异常的启动服务。 - 进入 cron 文件目录,查看是否存在非法定时任务脚本。
- 检查说明:查看
/etc/crontab
,/etc/cron.d
,/etc/cron.daily
,cron.hourly/
,cron.monthly
,cron.weekly/
是否存在可疑脚本或程序