Linux文件排查

已于 2025-03-25 10:18:02 修改
阅读量481 收藏 1
点赞数 13
CC 4.0 BY-SA版权
文章标签: linux 安全
于 2025-03-24 22:24:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmx999999/article/details/146488099

Linux文件排查

1、敏感目录文件分析

(1) 按时间顺序 查看敏感目录 注意权限和大小 ll -ath

/tmp
/usr/bin
/usr/sbin 经常作为恶意软件下载根目录及相关文件被替换的目录。
~/.ssh
/etc/ssh

(2) 查看开机启动项 ls -alt /etc/init.d/

(3) 针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他。
stat /etc/passwd

(4)当前用户home目录查看历史命令
cat ~/.bash_history

ps、
先查看/etc/passwd 文件最后一列如果不是nologin,就切换到这个用户,然后查看历史命令
主要关注的是第3、4列的用户标识号和组标识号,和倒数一二列的用户主目录和命令解析程序。
cat /etc/passwd | grep -v nologin
cat /etc/passwd | grep /bin/bash

(5)查看档案的结尾 默认显示最后十行 -f 动态显示文件最新追加的内容
tail -f /var/log/nps.log

(6)查看隐藏文件
ls /etc -ar | grep "^\."

^\.:正则表达式,匹配以 . 开头的行(即隐藏文件/目录)

(7)排查SUID程序
对于一些设置了SUID权限的程序进行排查
find / -type f -perm -04000 -ls -uid 0 2>/dev/null

2、find命令

(1)查看最近24小时被修改的php文件

-mtime -n +n 按文件更改时间来查找文件,-n指n天以内,+n指n天前
-atime -n +n 按文件访问时间来查找文件,-n指n天以内,+n指n天前
-ctime -n +n 按文件创建时间来查找文件,-n指n天以内,+n指n天前

find / -mtime 0 -name "*.sh"
find / -mtime -1 -name "*.php" #以前24小时的

find / -mtime 1 -name "*.php" #以前24小时-48小时的
find / -mtime +1 -name "*.php" #以前48小时外的

(2)查找以txt结尾的文件
find / -name "*.txt"
忽略大小写 -iname 不是结尾 ! -name

(3)特殊权限文件查看
查找777 的权限的文件
find / -perm 777 | more

(4)grep

-v 反转查找
-E 使用正则表达式选项
-n 输出包含匹配字符串的行数
–color=auto 标记匹配颜色

login3389
关注
Linux 入侵排查
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
11-19 327
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux文件搜索、查找、查看命令
热门推荐
黄小小的博客
10-12 36万+
Linux文件搜索、查找、查看命令 1、最强大的搜索命令:find 一、根据 文件或目录名称 搜索 二、根据 文件大小 搜索 三、根据 所有者和所属组 搜索 四、根据 时间属性 搜索 五、根据 文件类型或i节点 搜索 六、组合条件 搜索   2、在文件资料中查找文件:locate   3、搜索命令所在的目录及别名信息:which  4、搜索命令所在的目录及帮助文档路径:whereis 5、在文件...
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1384
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
Linux下查找文件(find、grep命令)
GG_Bruse的博客
04-23 19万+
linux中一切皆文件的思想是重中之重,那么查找文件是学习Linux必须要掌握的技能。 一、find命令 1.按文件名 使用参数 -name ...
linux在系统查询ls的方法,linux中目录信息查询ls命令的简单使用方法
weixin_28256233的博客
05-15 894
linux中目录信息查询ls命令的简单使用方法linux中目录信息查询ls命令的简单使用方法查询目录中内容: ls文中截图来自于CentOS 6.3系统命令语法:ls 【选项】【参数】常用的选项:-a 显示包括隐藏文件在内的所有文件-l 显示详细信息(ls –l 命令等同于ll命令)-d 查看目录的属性-h 采用看K,M,GB等单位来显示文件大小-I 显示inode使用方法:直接使用ls显示的是当...
Linux 提权-SUID/SGID_1
weixin_33300279的博客
09-14 225
本文通过 Google 翻译 SUID | SGID Part-1 – Linux Privilege Escalation 这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。 导航 0 前言 1 了解特殊权限 2 寻找 SUID/SGID 二进制文件 – 手动方法 2.1 枚举 SUID 二进制文件 2.2 枚举 SGID 二进制文件 3 寻找 SU...
Linux 常见异常分析,请收好这份排查指南~
zhangchang3的博客
04-09 1245
cpu负载 load负载过高
linux---文件排查
nickyff的博客
03-16 380
我们有时候遇到后台服务突然后出问题,cpu,内存都没有问题,服务就是有问题,这种诡异问题往往和开发在程序里加了大量日志信息,把磁盘空间占满有关系,所以除了监控cpu,内存的使用,磁盘使用情况也是必须的排查的,服务器大多情况都是linux一类操作系统,常见的磁盘命令df 和du df=disk free (用来查看磁盘的挂载点,以及对应的磁盘容量信息。包括磁盘的总大小,已经使用的大小,剩余大小...
Linux入侵排查
m0_72286569的博客
07-14 1689
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux入侵排查.docx
05-07
Linux 入侵排查 Linux 入侵排查是指在 Linux 系统中检测和处理黑客入侵、系统崩溃或其他影响业务正常运行的安全事件的过程。快速响应和处理这些事件对于保护企业的网络信息系统和减少经济损失至关重要。 0x00 前言...
网络安全——应急响应之Linux入侵排查
CoffeMilk的博客
11-13 1188
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
Linux排查异常文件
weixin_30730053的博客
03-05 556
目录 Linux异常文件分析目标 对比分析方法 工具排查 Linux异常文件分析目标 主要是在应急中排查主机是否有木马、病毒、Webshell文件。 对比分析方法 将两台类似的服务器做文件对比法,将对比一样的文件名记录下来,然后人工分析。 该方法缺点如下: 怎么能保证作比较的另一...
linux排查清除无用大文件
AYUKiss的博客
05-07 951
1.查看文件占用大小列表 df -h 2.找到大文件,cd进去 使用命令查看每个文件夹的大小 du -sh * 查找Linux系统中的占用磁盘空间最大的前10个文件文件夹 du : 计算出单个文件或者文件夹的磁盘空间占用. sort : 对文件行或者标准输出行记录排序后输出. head : 输出文件内容的前面部分. 用下面的命令组合可以完成上述查找工作,如下命令是查找出/var目录下占用空间最大的前10个文件或者文件夹,如查找整个系统,把/var换成/: du -a /var | sort -n
linux 文件内容搜查,Linux日志文件查看和搜查命令(错误日志排查定位)
weixin_30453491的博客
05-07 724
一、cat命令cat 命令用于连接文件并打印到标准输出设备上,主要用来查看文件内容,创建文件文件合并,追加文件内容等功能。语法格式cat [-AbeEnstTuv] fileName参数说明:-n 或 --number:由 1 开始对所有输出的行数编号。-b 或 --number-nonblank:和 -n 相似,只不过对于空白行不编号。-s 或 --squeeze-blank:当遇到有连续两行...
Linux系统分析排查
IT之一小佬的博客
05-03 1670
文件分析一敏感文件信息1 在Linux系统下一切都是文件。其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户可以对/tmp目录执行读写操作。 文件分析一敏感文件信息2 查看开机启动项内容/etc/init.d/,恶意代码很有可能设置在开机自启动的位置。 查看指定目录下文件时间顺序的排序:ls -alt | head -n 10 查看文件时间属性:stat文件文件分析一敏感文件信息3 新增文件分析: 查找24...
Linux】重生之从零开始学习运维之Mysql安装
qq_40427704的博客
07-21 242
【代码】【Linux】重生之从零开始学习运维之Mysql安装。
深入理解 TCP 协议:Linux 网络传输的可靠基石
Gappsong874的博客
07-23 894
TCP 协议是互联网可靠数据传输的基石,其设计体现了工程上的高度智慧和权衡。从三次握手建立信任通道,到序列号、ACK、重传机制保障数据可靠有序;从滑动窗口进行端到端的流量控制,到慢启动、拥塞避免、快速恢复等算法守护网络健康;再到四次挥手确保连接优雅关闭,每一个环节都至关重要。深入理解 TCP 的机制,特别是序列号/ACK、滑动窗口、拥塞控制等核心概念,并熟练掌握 Linux 系统下观察、诊断和调优 TCP 连接的工具与方法 (sstcpdumpsysctl。
Linux 下在线安装启动VNC
Tongyao
07-24 81
本文介绍了在CentOS 7系统下在线安装VNC的步骤。主要内容包括:1)使用yum安装tigervnc-server;2)通过vncpasswd命令设置VNC密码;3)启动和停止VNC服务的方法;4)安装GNOME桌面环境以避免黑屏问题。文章提供了完整的命令行操作指南,包括服务管理、端口配置和临时文件清理等实用技巧,适合需要远程桌面功能的Linux用户参考。
Linux deb程序包下载、解压、打包与安装
最新发布
视觉算法小趴菜的博客
07-24 41
本文介绍了deb程序包的基本操作流程:1)使用apt-get download命令下载deb包;2)通过dpkg-deb -R命令解压deb包到指定目录;3)使用dpkg-deb --build命令将修改后的程序文件夹重新打包为deb文件,需确保包含DEBIAN/control等必要文件;4)最后通过dpkg -i命令安装deb程序包。文章以UOS系统下的dde-control-center为例,详细说明了各步骤的具体操作方法和注意事项,为Linux系统下的deb包管理提供了实用指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值