【网安面试】应急响应–LInux快速入门

应急响应基础

关键目录

常用命令

查看进程资源占用: top

查看进程: ps -aux

查看网络连接: netstat -antpl

然后根据pid，利用ls -alh /proc/pid命令查看其对应的可执行程序

开放端口的进程:lsof

显示错误的尝试登录信息:lastb

显示系统用户最近的登录信息:last

现实所有的用户最近的登录信息:lastlog

查找符合条件的字符串:grep

查看定时任务: crontab -l、 cat /etc/crontab

查看历史命令: history、cat~/.bash_history

查看当前目录下所有文件并排序:ls -alt

校验RPM软件包:rpm -Va、dpkg -verify

S:表示对应文件的大小（Size）不一致;
M:表示对于文件的mode不一致;
5:表示对应文件的MD5不一致;
D:表示文件的major和minor号不一致;
L:表示文件的符号连接内容不一致;
U:表示文件的owner不一致;
G:表示文件的group不一致;T:表示文件的修改时间不一致;

如果只是出现S,5其实不需太过担心，但是同时出现SM5这种就要考虑是不是出问题了

查看文件（文件夹）详细信息: stat

stat ./

查找当前目录下，指定天数内修改的指定类型（or名称）文件: find . / -mtime 0 - name *. jsp

查找当前目录下，指定天数内新增的指定类型（or名称）文件: find ./ -ctime 0 - name *.jsp

登录成功的IP

grep \"Accepted\" /var/log/secure | awk \' {print $11}\' | sort | uniq -c | sort -nr | more
grep \"Accepted\" /var/log/auth.log | awk \' {print $11}\' | sort | uniq -c | sort -nr | more

定位有爆破行为的IP

grep \"Failed password\" /var/log/secure |awk \' {print $11}\' | sort | uniq -c | sort -nr |more
grep \"Failed password\" /var/log/auth.log |awk \' {print $11}\' | sort | uniq -c | sort -nr |more

查看隐藏进程

ps -ef | awk \' {print}\' | sort -n | uniq >1
ls /proc | sort -n | uniq >2
diff 1 2

应急工具

Busybox

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。BusyBox 包含了一些简单的工具，例如ls、cat和echo等等，还包含了一些更大、更复杂的工具，例grep、find、mount以及telnet。有些人将 BusyBox 称为 Linux 工具里的瑞士军刀。

./busybox netstat -antpl

官网:[https: //busybox.net/]

chkrootkit

chkrootkit是一个linux下检RootKit的脚本。

chkrookit -n

官网:[http: / /www.chkrootkit.org/]

Chkrootkit安装:
下载源码:ftp://ftp.pangeia.com. br/pub/seg/pac/chkrootkit.tar. gz2
解压后执行make进行编译，就可以使用了。
./chkrootkit | grep INFECTED
一般直接运行，一旦有INFECTED，说明可能被植入了RootKit

Rkhunter

rkhunter是Linux系统平台下的一款开源入侵检测工具，具有非常全面的扫描范围，除了能够检测各种已知的rootkit特征码以外，还支持端口扫描、常用程序文件的变动情况检查。

rkhunter --checkall -- sk

Webshell查杀工具
官网:[https: / /www.shellpub.com/]