伺服器被攻擊,或多或少都會有相對應的症狀,例如:挖礦病毒,cpu利用率公升高,記憶體佔用率增加,出現異常程序,伺服器響應速度變慢等等。
根據病毒傳播傳播途徑,對系統進行加固,防止再次感染。
通過.bash_history檢視帳號執行過的系統命令
root的歷史命令:histroy
開啟/home各帳號目錄下的.bash_history,檢視普通帳號的歷史命令
歷史操作命令的清除:history -c
(但此命令並不會清除儲存在檔案中的記錄,因此需要手動刪除.bash_profile檔案中的記錄。)
pid:程序id,程序的唯一識別符號
user:程序所有者的實際使用者名稱。
pr:程序的排程優先順序。這個欄位的一些值是'rt'。這意味這這些程序執行在實時態。
ni:程序的nice值(優先順序)。越小的值意味著越高的優先順序。負值表示高優先順序,正值表示低優先順序
virt:程序使用的虛擬記憶體。程序使用的虛擬記憶體總量,單位kb。virt=swap+res
res:駐留記憶體大小。駐留記憶體是任務使用的非交換物理記憶體大小。程序使用的、未被換出的物理記憶體大小,單位kb。res=code+data
shr:shr是程序使用的共享記憶體。共享記憶體大小,單位kb
s:這個是程序的狀態。它有以下不同的值:
%cpu:自從上一次更新時到現在任務所使用的cpu時間百分比。
%mem:程序使用的可用物理記憶體百分比。
time+:任務啟動後到現在所使用的全部cpu時間,精確到百分之一秒。
command:執行程序所使用的命令。程序名稱(命令名/命令列)
ps -aux
病毒一般攜帶可疑字串,如果發現需要額外關注。
user:使用者名稱
%cpu:程序占用的cpu百分比
%mem:占用記憶體的百分比
vsz:該程序使用的虛擬記憶體量(kb)
rss:該程序占用的固定記憶體量(kb)(駐留中頁的數量)
stat:程序的狀態
start:該程序被觸發啟動時間
time:該程序實際使用cpu執行的時間
引數介紹
a顯示現行終端機下的所有程式,包括其他使用者的程式。
-a顯示所有程式。
c列出程式時,顯示每個程式真正的指令名稱,而不包含路徑,引數或常駐服務的標示。
-e此引數的效果和指定"a"引數相同。
e列出程式時,顯示每個程式所使用的環境變數。
f用ascii字元顯示樹狀結構,表達程式間的相互關係。
-h顯示樹狀結構,表示程式間的相互關係。
-n顯示所有的程式,除了執行ps指令終端下的程式之外。
s採用程式訊號的格式顯示程式狀況。
s列出程式時,包括已中斷的子程式資料。
-t 《終端機編號》
指定終端機編號,並列出屬於該終端機的程式的狀況。
u以使用者為主的格式來顯示程式狀況。
-l較長,較詳細的顯示該pid的。
檢視下pid所對應的程序檔案路徑,
執行ls -l /proc/$pid/exe 或 file /proc/$pid/exe
($pid 為對應的 pid 號)
列出某個使用者 cron 服務的詳細內容:crontab -l
刪除每個使用者cront任務(謹慎:刪除所有的計畫任務):crontab -r
利用anacron實現非同步定時任務排程。anacron 會以 1 天、1周(7天)、乙個月作為檢測週期,判斷是否有定時任務在關機之後沒有執行。如果有這樣的任務,那麼 anacron 會在特定的時間重新執行這些定時任務。
eg:每天執行 /home/backup.sh指令碼: vi /etc/anacrontab @daily 10 example.daily /bin/bash /home/backup.sh當機器在 backup.sh 期望被執行時是關機的,anacron會在機器開機十分鐘之後執行它,而不用再等待7天。
詳細介紹:>
日誌預設存放位置:/var/log/
檢視日誌配置情況:more /etc/rsyslog.conf
日誌檔案
說明/var/log/cron
記錄了系統定時任務相關的日誌
/var/log/cups
記錄列印資訊的日誌
/var/log/dmesg
記錄了系統在開機時核心自檢的資訊,也可以使用dmesg命令直接檢視核心自檢資訊
/var/log/mailog
記錄郵件資訊
/var/log/message
記錄系統重要資訊的日誌。這個日誌檔案中會記錄linux系統的絕大多數重要資訊,如果系統出現問題時,首先要檢查的就應該是這個日誌檔案
/var/log/btmp
記錄錯誤登入日誌,這個檔案是二進位制檔案,不能直接vi檢視,而要使用lastb命令檢視
/var/log/lastlog
記錄系統中所有使用者最後一次登入時間的日誌,這個檔案是二進位制檔案,不能直接vi,而要使用lastlog命令檢視
/var/log/wtmp
永久記錄所有使用者的登入、登出資訊,同時記錄系統的啟動、重啟、關機事件。同樣這個檔案也是乙個二進位制檔案,不能直接vi,而需要使用last命令來檢視
/var/log/utmp
記錄當前已經登入的使用者資訊,這個檔案會隨著使用者的登入和登出不斷變化,只記錄當前登入使用者的資訊。同樣這個檔案不能直接vi,而要使用w,who,users等命令來查詢
/var/log/secure
記錄驗證和授權方面的資訊,只要涉及賬號和密碼的程式都會記錄,比如ssh登入,su切換使用者,sudo授權,甚至新增使用者和修改使用者密碼都會記錄在這個日誌檔案中
Linux 應急響應基礎
0x01 技能樹 0x02 linux 常用命令 find name jsp find type f mtime 3 find type f ctime 3 grep nv root etc passwd grep nr root grep nr v 404 grep e jsp jspx more...
Linux應急響應
檢視登入歷史記錄 last aulast 檢視所有 戶的最後登入記錄 aulastlog 檢視命令歷史記錄 history cat bash history 檢視當前可登入的 戶列表 cat etc passwd grep v s grep e v sbin nologin bin sync sbi...
linux應急響應
linux常用命令 常見日誌的位置以及分析方法 熟悉常規黑客的攻擊手法 常規安全事件的處置思路根目錄下所有.jsp字尾檔案 find name jsp最近3天修改過的檔案 find type f mtime 3最近3天建立的檔案 find type f ctime 3grep nv root etc...