微信公众号:绝对防御局
关注可了解更多关于 红蓝对抗、安全防御等安全tips ;
有任何的问题或建议,欢迎公众号留言;
Linux应急检测命令备忘表,从进程、目录、文件、用户、日志进行查询搜索,仅供参考。
建议有些命令附带busybox 执行,最好方式还是查看特定文件而不单是执行命令 :)
查看占用大量CPU/RAM的进程
top
进程树
ps -auxwf
开放的网络端口
netstat -nalp
netstat -plant
ss -a -e -i
lsof [many opitons]
查找被删除但还在运行的程序
ls -alR /proc/*/exe 2> /dev/null |grep deleted
进程相关名称及命令
strings /proc/<PID>/comm
strings /proc/<PID>/cmdline
进程实际路径
ls -al /proc/<PID>/exe
进程执行时环境变量
strings /proc/<PID>/environ
查看所有进程执行目录
ls -alR /proc/*/cwd
查看在tmp dev 目录下执行的程序
ls -alR /proc/*/cwd 2> /dev/null | grep tmp
ls -alR /proc/*/cwd 2> /dev/null | grep dev
需要检查的目录
/tmp, /var/tmp, /dev/shm, /var/run,
/var/spool, user home directories
向目录追加 / 指示符
ls -alp
显示隐藏目录
find / -type -d -name ".*"
查找设置属性为不可修改的文件
lsattr / -R 2> /dev/null | grep "\----i"
查找设置为SUID/SGUID的文件
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;
查找没有用户/组名称的文件
find / \( -nouser -o -nogroup \) -exec ls -lg {} \;
列出当前目录中的所有文件类型
file * -p
查找可执行文件
find / -type f -exec file -p '{}' \; | grep ELF
find /tmp -type f -exec file -p '{}' \; | grep ELF
最近一天有修改(modified/created)的文件
find / -mtime -1
可存放后门持久化的目录
/etc/rc.local, /etc/initd, /etc/rc*.d, /etc/modules, /etc/cron*, /var/spool/cron/*
查找已经修改的包文件
rpm -Va | grep ^..5.
debsums -c
查找所有ssh公钥文件
find / -name authorized_keys
查找所有用户历史日志文件
find / -name .*history
查找历史日志文件重定向到/dev/null
ls -alR / 2> /dev/null | grep .*history | grep null
查看root用户/组
grep ":0:" /etc/passwd
检测sudoers 文件
cat /etc/sudoers
cat /etc/group
检查计划任务
crontab -l
atq
systemctl list-timers --all
查找大小为0的文件
ls -al /var/log/*
审计登录日志
utmpdump /var/log/wtmp
utmpdump /var/run/utmp
utmpdump /var/log/btmp
last
lastb
查找包含有二进制文件的日志
grep [[:cntrl:]] /var/log/*.log
Linux.Compromise.Detection.Command.Cheatsheet.pdf
可私信 linux-detection 获取表格pdf链接
感谢关注 :)