Linux常用应急溯源命令文章目录及命令

也想出现在这里？点击联系我~

立即下单

进入商城

进不了网站？换个网络试试！

Linux 常用紧急回溯命令

文章目录

常用命令1、账号相关命令

1、查询特权用户特权用户（uid为0):awk-F:'$3==0{print$1}'/etc/passwd

2、查询可远程登录的账号信息：awk'/$1|$6/{print$1}'/etc/shadow

2、程序相关命令

1、查看当前打开的端口netstat-tnlp

2、查看当前系统运行的所有进程ps-ef

3、查看进程psaux|greppid

4、查看cpu使用率排名前十的进程psaux--sort=pcpu|head-10

3、记录相关命令

1、默认日志存放位置：/var/log/

2、查看日志配置：more/etc/rsyslog.conf

日志文件

说明

/var/log/cron

记录系统计划任务相关的日志

/var/log/cups

记录复制信息的日志

/var/log/dmesg

系统上电时记录内核自检信息。也可以使用dmesg命令直接查看内核自检信息

/var/log/malog

记录电子邮件

/var/log/消息

记录系统重要信息的日志。这个日志文件会记录Linux系统的大部分重要信息。如果系统有问题，首先要检测的应该是这个日志文件

/var/log/btmp

记录错误登录日志，此文件为补码文件，vi无法直接查看用户登录日志表设计，必须使用lastb命令查看

/var/log/lastlog

记录系统中所有用户最后一次登录时间的日志。这个文件是补码文件，不能直接vi用户登录日志表设计，必须用lastlog命令查看

/var/log/wtmp

永久记录所有用户的登录和注销信息，记录系统的启动、重启、关机。同一个文件也是补码文件，不能直接vi，需要用最后一个命令查看

/var/log/utmp

记录当前已经登录的用户信息。该文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。同样，这个文件也不能直接vi，必须通过w、who、users等命令查询。

/var/log/安全

记录认证授权信息，只要涉及到账号密码的程序都会被记录，比如SSH登录、su切换用户、sudo授权，甚至添加用户、修改用户密码都会记录在这个日志文件中

p>

查看系统成功登录、关机、重启等：/var/log/wtmp

查看登录失败的用户日志：/var/log/btmp

查看所有用户登录日志：/var/log/lastlog

查看谁在使用端口：lsof-i:5001

查看内外网连接：lsof-nPi

3.1位置爆破root账号源IP

#grep "Failedpasswordforroot"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more

#定位爆破的IP：

grep "密码失败" /var/log/secure|grep-E-o"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]| 2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[ 01]?[0-9][0-9]?)”|uniq-c

#爆破用户名的子词典有哪些？

grep "Failedpassword" /var/log/secure|perl-e'while($_=){/for(.*?)from/;prin

3.2 查询登录成功的IP

#last命令，它会读取位于/var/log/wtmp下的文件，并在该文件中记录登录系统的用户列表。

#grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more

3.3查询减少用户日志

成功登录日期、用户名、IP：

grep "已接受"/var/log/secure|awk'{print$1,$2,$3,$9,$11}'

grep "useradd" /var/log/secure

3.4 查询删除用户日志

grep "userdel" /var/log/secure

3.5查询su切换用户记录

sudo-l

4、计划任务

1、检查以下文件：

/var/spool/cron/, /etc/crontab, /etc/cron.d/, /etc/cron.daily/, /etc/cron.hourly/, /etc/cron.monthly/, /etc /cron.weekly/, /etc/anacrontab, /var/spool/anacron/

2、查看目录下所有文件：more/etc/cron.daily/*

5、文本相关5.1grep查找前后数据

显示 1.txt 文件中匹配 ffuck 字符串的行和上下 5 行：grep-C5fuck1.txt

显示 foo 和前 5 行：grep-B5fuck1.txt

显示 foo 和最后 5 行：grep-A5fuck1.txt

5.2 显示文件的几行

从第100行开始，显示200行，显示第100~299行：catshell.php|tail-n+100|head-n200

6、其他相关6.1查看最近对各种脚本文件和其他文件的更改

查找 24 小时内更改的 JSP 文件：查找 ./-mtime0-name ".jsp" 并查找 ./-mtime0-name ".php"

查看密码文件上次更改的时间（最近的更改）：stat/etc/passwd

检查除登录失败以外的其他用户，看看是否有新用户：cat /etc/passwd|grep-vnologin

查看哪些用户有root权限，是否有新增：cat/etc/passwd|grepx:0

查看哪些用户正在使用 shell：cat /etc/passwd|grep/bin/bash

6.2 个域名主机

vim/etc/hosts