本文详细介绍了Linux系统中用于监控进程、资源、网络、文件、安全审计以及系统调用的多种实用命令,包括查看进程状态、端口占用、文件操作、漏洞检测和追踪服务等,有助于IT专业人员进行日常维护和安全检查。
- 查看进程 ps -ef 或 ps -xef 或lsof -i -PnR
- 动态查看进程、资源占用情况 top
- 查看端口Netstat -anpt
- 最近5天的修改文件find / -mtime -5
- 查看隐藏文件目录 ls -la
- 按修改顺序查看文件 ls -lt
按访问时间顺序查看 ls -lut
- less /etc/passwd查看是否有新增用户
- grep :0 /etc/passwd 查看是否有root权限用户u
- stat /etc/passwd查看passwd最后修改时间
10、检查隐藏进程
ps -ef |awk ‘{print}’ |sort -n |uniq>1
ls /proc |sort -n |uniq >2
diff 1 2
11、md5sum -b filename 查看文件md5值
12、ip link |grep PROMISC 查看网卡是否有promisc,如果有则可能存在sniffer
13、arp -a 查看arp记录
14、crontab -l 查看计划任务
cat /etc/crontab
ls -l /etc/cron.*
ls /var/spool/cron/
15、vim $HOME/.ssh/authorized_keys 查看ssh永久链接文件
16、cd /etc/inid.c /rc.d …
17、搜索webshell常用命令
find /site/* -type f -name “*.jsp” |xargs grep “exec(“
find /site/* -type f -name “*.php” |xargs grep “eval(”
find /site/* -type f -name “*.asp” |xargs grep “execute(”
find /site/* -type f -name “*.aspx” |xargs grep “eval(”
检测加密后的
find /site/* -type f -name “*.php” |xargs grep “base64_decode”
检测拼接的
find /site/* -type f -name “*.php” |xargs grep “@$”
18、linux查看当前状态命令:
users:显示当前登陆用户信息。
Who:显示谁正在使用系统本地节点的信息。
Last:显示系统曾经被登陆的用户和TTYS。
w:查看谁登陆到系统中,且在做什么操作。
netstat -anp:查看端口对应的进程关系。
lsof -p PID:查看进程对应的文件,配合netstat -anp查看端口进程文件之间的关系,可以找到端口进程对应的文件。
lsof -i:查看实时的进程、服务与端口信息。
ps -aux:查看进程。
chkconfig -list:查看服务启动信息。
find / -perm -004000 -type f:输出所有设置了SUID的文件。
rpm -Va:列举全部软件包的变化情况
19、
1、注入漏洞记录
grep -i select%20 *.log | grep 500 | grep -i \.php 查找后缀为”.log” 文件,搜索关键字为”select%20″,筛选存在”500″的行
grep -i sqlmap *.log sqlmap默认User-Agent是sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org),查看存在sqlmap的行,可以发现sqlmap拖库的痕迹。
2、跨站漏洞记录
grep -i “script” *.log 查找存在script的行。
3、扫描器扫描
grep -i acunetix *.log AWVS扫描时,会发送大量含有“acunetix”的数据包。
4、搜索特定时间的日志
grep \[07/Jul/2016:24:00:* *.log 可以结合入侵时间搜索,文件修改时间不可作为依据,菜刀上就可以修改文件时间属性。
5、搜索特定IP地址的日志
grep ^192.168.1.* *.log 搜索包含“192.168.1.”字符串开头的行
grep -v ^192.168.10.* *.log 不搜索包含“192.168.10.”字符串开头的行
可以结合网站、网络安全策略搜索能访问网站后台、FTP服务等的IP地址。
20、cd ~ 切换到当前用户home目录底下
21、strace 跟踪可执行程序
strace -f -F -o ~/straceout.txt myserver
-f -F选项告诉strace同时跟踪fork和vfork出来的进程,-o选项把所有strace输出写到~/straceout.txt里 面,myserver是要启动和调试的程序。
跟踪服务程序strace -o output.txt -T -tt -e trace=all -p 28979
跟踪28979进程的所有系统调用(-e trace=all),并统计系统调用的花费时间,以及开始时间(并以可视化的时分秒格式显示),最后将记录结果存在output.txt文件里面。
22、sysdig
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
