Linux 常用紧急回溯命令
文章目录
常用命令1、账号相关命令
1、查询特权用户特权用户(uid为0):awk-F:'$3==0{print$1}'/etc/passwd
2、查询可远程登录的账号信息:awk'/$1|$6/{print$1}'/etc/shadow
2、程序相关命令
1、查看当前打开的端口netstat-tnlp
2、查看当前系统运行的所有进程ps-ef
3、查看进程psaux|greppid
4、查看cpu使用率排名前十的进程psaux--sort=pcpu|head-10
3、记录相关命令
2、查看日志配置:more/etc/rsyslog.conf
日志文件
说明
/var/log/cron
记录系统计划任务相关的日志
/var/log/cups
记录复制信息的日志
/var/log/dmesg
系统上电时记录内核自检信息。也可以使用dmesg命令直接查看内核自检信息
/var/log/malog
记录电子邮件
/var/log/消息
记录系统重要信息的日志。这个日志文件会记录Linux系统的大部分重要信息。如果系统有问题,首先要检测的应该是这个日志文件
/var/log/btmp
记录错误登录日志,此文件为补码文件,vi无法直接查看用户登录日志表设计,必须使用lastb命令查看
/var/log/lastlog
记录系统中所有用户最后一次登录时间的日志。这个文件是补码文件,不能直接vi用户登录日志表设计,必须用lastlog命令查看
/var/log/wtmp
永久记录所有用户的登录和注销信息,记录系统的启动、重启、关机。同一个文件也是补码文件,不能直接vi,需要用最后一个命令查看
/var/log/utmp
记录当前已经登录的用户信息。该文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件也不能直接vi,必须通过w、who、users等命令查询。
/var/log/安全
记录认证授权信息,只要涉及到账号密码的程序都会被记录,比如SSH登录、su切换用户、sudo授权,甚至添加用户、修改用户密码都会记录在这个日志文件中
p>
查看系统成功登录、关机、重启等:/var/log/wtmp
查看登录失败的用户日志:/var/log/btmp
查看所有用户登录日志:/var/log/lastlog
查看谁在使用端口:lsof-i:5001
查看内外网连接:lsof-nPi
3.1位置爆破root账号源IP
#grep "Failedpasswordforroot"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more
#定位爆破的IP:
grep "密码失败" /var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]| 2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[ 01]?[0-9][0-9]?)”|uniq-c
#爆破用户名的子词典有哪些?
grep "Failedpassword" /var/log/secure|perl-e'while($_=){/for(.*?)from/;prin
3.2 查询登录成功的IP
#last命令,它会读取位于/var/log/wtmp下的文件,并在该文件中记录登录系统的用户列表。
#grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more
3.3查询减少用户日志
成功登录日期、用户名、IP:
grep "已接受"/var/log/secure|awk'{print$1,$2,$3,$9,$11}'
grep "useradd" /var/log/secure
3.4 查询删除用户日志
grep "userdel" /var/log/secure
3.5查询su切换用户记录
sudo-l
4、计划任务
1、检查以下文件:
/var/spool/cron/, /etc/crontab, /etc/cron.d/, /etc/cron.daily/, /etc/cron.hourly/, /etc/cron.monthly/, /etc /cron.weekly/, /etc/anacrontab, /var/spool/anacron/
2、查看目录下所有文件:more/etc/cron.daily/*
5、文本相关5.1grep查找前后数据
显示 1.txt 文件中匹配 ffuck 字符串的行和上下 5 行:grep-C5fuck1.txt
显示 foo 和前 5 行:grep-B5fuck1.txt
显示 foo 和最后 5 行:grep-A5fuck1.txt
5.2 显示文件的几行
从第100行开始,显示200行,显示第100~299行:catshell.php|tail-n+100|head-n200
6、其他相关6.1查看最近对各种脚本文件和其他文件的更改
查找 24 小时内更改的 JSP 文件:查找 ./-mtime0-name ".jsp" 并查找 ./-mtime0-name ".php"
查看密码文件上次更改的时间(最近的更改):stat/etc/passwd
检查除登录失败以外的其他用户,看看是否有新用户:cat /etc/passwd|grep-vnologin
查看哪些用户有root权限,是否有新增:cat/etc/passwd|grepx:0
查看哪些用户正在使用 shell:cat /etc/passwd|grep/bin/bash
6.2 个域名主机
vim/etc/hosts