05
2024
08
16:03:46

linux 木马查杀指南

账号

 # 查找特权用户
 awk -F ":" '$3==0{print $1}' /etc/passwd
 
 # 查找可以远程登录的账号信息
 awk '/\$1|\$6/{print $1}' /etc/shadow
 
 # 查找 sudo 权限账户
 cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
 
 # CentOS 登录日志
 # 查看登录成功的日期、用户名及 IP
 grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
 # 查看试图爆破主机的 IP
 grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more
 grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c
 # 查看试图爆破 root 账号的 IP
 grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort
 # 查看爆破用户名字典
 grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr
 
 # 查看当前登录用户和其行为
 w
 
 # 查看所有用户最后一次登录的时间
 lastlog
 
 # 查看所有用户的登录注销信息及系统的启动、重启及关机事件
 last


定时任务

 crontab -l
 ls -lt /etc/cron.* /var/spool/cron/* /var/spool/anacron/*
 cat /etc/crontab /etc/anacrontab


启动项

 # CentOS
 cat /etc/rc.local
 ll /etc/rc*
 chkconfig --list
 /etc/systemd/system/multi-user.target.wants/


文件

 # 3 * 24 小时内有修改的文件
 find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -3 | xargs ls -la
 # 3 * 24 小时内新创建的文件
 find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -ctime -3 | xargs ls -la
 
 # 按时间排序,确认最近是否有命令被替换
 ls -alt /usr/sbin /usr/bin /usr/local/bin
 
 # 校验所有的 RPM 软件
 # S 表示文件长度发生了变化
 # M 表示文件的访问权限或文件类型发生了变化
 # 5 表示 MD5 校验和发生了变化
 # D 表示设备节点的属性发生了变化
 # L 表示文件的符号链接发生了变化
 # U 表示文件 /子目录/ 设备节点的 owner 发生了变化
 # G 表示文件 /子目录/ 设备节点的 group 发生了变化
 # T 表示文件最后一次的修改时间是发生了变化
 rpm -Va > rpm.log
 
 # 查看文件时间
 stats xxx
 
 # 加锁防止修改
 chattr +i /usr/bin /usr/lib /usr/lib64 /tmp /opt /etc /etc/init.d
 # 解除锁
 chattr -i /usr/bin /usr/lib /usr/lib64 /tmp /opt /etc /etc/init.d
 lsattr
 
 # 重命名 curl wget crontab 命令


网络

 iptables -L
 cat /etc/resolv.conf
 cat /etc/hosts
 cat /etc/hosts.allow
 cat /etc/hosts.deny


进程

 # 查找占用 CPU 最多的进程:运行 top 命令后,键入大写字母 P 按 CPU 排序;
 # 查找占用内存最多的进程:运行 top 命令后,键入大写字母 M 按内存排序;
 ps aux | sort -k4nr
 
 # 查看进程文件
 ls -la /proc/$pid/exe
 
 # 查看进程打开的文件
 lsof -p $pid
 
 # 查看进程端口情况
 netstat -anltp | grep $pid
 
 # 查看 /usr/bin 下的程序进程
 lsof -R | grep /usr/bin




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/7412.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: