微信公众号：绝对防御局

关注可了解更多关于 红蓝对抗、安全防御等安全tips ;

有任何的问题或建议，欢迎公众号留言;

Linux应急检测命令备忘表，从进程、目录、文件、用户、日志进行查询搜索，仅供参考。

建议有些命令附带busybox 执行，最好方式还是查看特定文件而不单是执行命令 :)

Processes

查看占用大量CPU/RAM的进程

top

进程树

ps -auxwf

开放的网络端口

netstat -nalp
netstat -plant
ss -a -e -i
lsof [many opitons]

查找被删除但还在运行的程序

ls -alR /proc/*/exe 2> /dev/null |grep deleted

进程相关名称及命令

strings /proc/<PID>/comm
strings /proc/<PID>/cmdline

进程实际路径

ls -al /proc/<PID>/exe

进程执行时环境变量

strings /proc/<PID>/environ

查看所有进程执行目录

ls -alR /proc/*/cwd

查看在tmp dev 目录下执行的程序

ls -alR /proc/*/cwd 2> /dev/null | grep tmp
ls -alR /proc/*/cwd 2> /dev/null | grep dev

Directories

需要检查的目录

/tmp, /var/tmp, /dev/shm, /var/run,
/var/spool, user home directories

向目录追加 / 指示符

ls -alp

显示隐藏目录

find / -type -d -name ".*"

Files

查找设置属性为不可修改的文件

lsattr / -R 2> /dev/null | grep "\----i"

查找设置为SUID/SGUID的文件

find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;

查找没有用户/组名称的文件

find / \( -nouser -o -nogroup \) -exec ls -lg {} \;

列出当前目录中的所有文件类型

file * -p

查找可执行文件

find / -type f -exec file -p '{}' \; | grep ELF
find /tmp -type f -exec file -p '{}' \; | grep ELF 

最近一天有修改(modified/created)的文件

find / -mtime -1

可存放后门持久化的目录

/etc/rc.local, /etc/initd, /etc/rc*.d, /etc/modules, /etc/cron*, /var/spool/cron/*

查找已经修改的包文件

rpm -Va | grep ^..5.
debsums -c

Users

查找所有ssh公钥文件

find / -name authorized_keys

查找所有用户历史日志文件

find / -name .*history

查找历史日志文件重定向到/dev/null

ls -alR / 2> /dev/null | grep .*history | grep null

查看root用户/组

grep ":0:" /etc/passwd

检测sudoers 文件

cat /etc/sudoers
cat /etc/group

检查计划任务

crontab -l
atq
systemctl list-timers --all

Logs

查找大小为0的文件

ls -al /var/log/*

审计登录日志

utmpdump /var/log/wtmp
utmpdump /var/run/utmp
utmpdump /var/log/btmp
last
lastb

查找包含有二进制文件的日志

grep [[:cntrl:]] /var/log/*.log

Referer

Linux.Compromise.Detection.Command.Cheatsheet.pdf  

可私信 linux-detection 获取表格pdf链接